解决网站漏洞 短信验证码被盗刷 该怎么办
公司的商城网站刚上线运营不到一个星期,网站就被攻击了,导致公司网站的短信通道被人恶意刷了几万条短信,损失较大,同时服务器也遭受到了前所未有的攻击。CPU监控看到网站在被盗刷短信验证码的时候,CPU一直保持在%95,网站甚至有些时候都无法打开。
网站被攻击后我登录了阿里云进去看了下,受到了很多阿里云提示的安全提醒,阿里云竟然没有给我拦截,我打电话咨询阿里云,阿里云竟然说我没有购买他们的云防火墙,阿里云客服还一再的推销让我们公司购买他们的云防火墙来防止短信验证码攻击,本身我也是做技术出身的,还是懂一些代码以及安全方面的,公司领导立即开会研究这个问题该如何解决,任命我带头负责处理此次的安全问题。
首先关于网站短信验证码被盗刷,从多个层面去分析漏洞产生的原因,基础带宽线路层,服务器层,网站层,三个方面去分析解决问题。
基础带宽应用层是:像DDOS,CC,带宽流量的攻击属于基础带宽,如果网站遭受到攻击,网站打不开,打开无法显示一般都是基础带宽应用层受到了攻击,防御办法也是通过高防服务器的硬防来防止攻击,但是也会造成误封,多层流量清洗防止攻击。
服务器层面,服务器被攻击的话,一般也会造成短信验证码盗刷,攻击者入侵服务器,并在服务器里直接与短信验证码平台通信发送数据,多频率的发送,修改数据库,都会造成短信验证码的盗刷。
网站层,经过多年的技术开发与安全接触,短信验证码被盗刷,都是网站存在漏洞导致的,尤其写的代码并没有对请求的次数,以及请求的函数,请求IP,进行安全过滤,这次公司商城网站被盗刷短信很大一部分原因是代码上的漏洞,代码开发有问题,先从代码入手查看问题,检查了所有关于获取短信验证码调用的代码,在一个会员找回密码功能这里,我们发现了问题,代码里竟然没有对请求的次数,频率,IP,进行限制,导致攻击者利用该页面功能,POST伪造函数多次请求找回密码页面,导致短信被刷,瞬时间服务器都会遭受压力,CPU达到百分之95.针对这个漏洞,我们对代码漏洞进行了修复,限制请求次数,频率,手机号码唯一性判断,IP判断验证等等的安全策略来阻止短信验证码被盗刷。
至此短信被盗刷的问题得以解决,网站代码的开发环节真的很重要,在网站上线之前一定要对网站的安全进行测试,许多程序员在开发代码的时候只顾功能并不会考虑到安全问题,甚至有些程序员的安全意识很薄弱,导致代码出现sql注入漏洞,XSS跨站漏洞,数据库漏洞,等等问题,如果不懂如何修复网站漏洞,也可以找专业的网站安全公司来处理,国内也就Sinesafe和绿盟、启明星辰等安全公司比较专业.
解决网站漏洞 短信验证码被盗刷 该怎么办相关推荐
- 短信验证码被盗刷了怎么办?
短信接口被恶意攻击的最常见的一种情况就是短信验证码被盗刷. 一般分两种情况: 攻击一个手机号 一般是针对个人的,当攻击者通过某种途径获取被攻击者的号码后就会利用某网站或者某一个软件的短信功能对其进行短 ...
- Atitit. 破解 拦截 绕过 网站 手机 短信 验证码 方式 v2 attilax 总结
Atitit. 破解 拦截 绕过 网站 手机 短信 验证码 方式 v2 attilax 总结 1. 验证码的前世今生1 1.1. 第一代验证码 图片验证码1 1.2. 第二代验证码 用户操作 , ...
- atitit 破解 拦截 绕过 网站 手机 短信 验证码 之自动获取手机短信方式 attilax 总结
atitit.破解 拦截 绕过 网站 手机 短信 验证码 之自动获取手机短信方式 attilax 总结 1. 自动获取手机短信方式的原理 1 2. 调用api 1 3. ----核心代码 2 4. ...
- net项目对接java平台_用Java解决项目对接短信验证码难问题:OkHttp和Unirest介绍
这几个月都在用java 做 一个企业的积分商城 系统, 需要用户用手机号码进行注册登录,所以需要接入一个短信验证码进去. 短信验证码实现流程 1 .构造手机验证码,生成一个 4 位的随机数字串: 2 ...
- 我们公司的短信接口被刷了,瞬间损失两万,怎么解决?(短信接口被盗刷系列1)
1 我们公司的短信接口被刷了,瞬间损失两万 前两天的中午像往常一样热,太阳不知疲倦的在天空燃烧,热跑了云彩和鸟儿,马上就要点燃空气和我的脑神经.为我和电脑降温的,是我简陋的书桌上的小电扇,没有它的话, ...
- 怎样解决PHP、JAVA短信验证码api发送失败?
初次使用PHP.JAVA短信验证码平台接口API,很多企业用户都会遇到一些问题,尤其是验证码发送失败的问题,更是数不胜数.那么,短信验证码为什么会发送失败呢?如何才能快速解决呢?下面为大家详细说一说验 ...
- atitit.短信 验证码 破解 v3 p34 识别 绕过 系统方案规划----业务相关方案 手机验证码 .doc...
atitit.短信 验证码 破解 v3 p34 识别 绕过 系统方案规划----业务相关方案 手机验证码 .doc 1. 手机短信验证码 vs 图片验证码 安全性(破解成本)确实要高一些1 1 ...
- Java调用WebService接口实现发送手机短信验证码功能,java 手机验证码,WebService接口调用...
近来由于项目需要,需要用到手机短信验证码的功能,其中最主要的是用到了第三方提供的短信平台接口WebService客户端接口,下面我把我在项目中用到的记录一下,以便给大家提供个思路,由于本人的文采有限, ...
- 手把手教你设计短信验证码
很多APP产品设计人员在设计产品时往往忽视了短信验证码这一环节,在这个短信似乎和"人与人沟通"的产品定位渐行渐远的时代,短信验证码仍然在生活中扮演了很重要的一个通知作用.短信验证码 ...
最新文章
- ikbc键盘自动打字_键盘按斤卖,一斤一百块?IKBC W200机械键盘简晒
- 人人都在加注芯片,英特尔却一头扎向医疗
- 一个令人心醉的谜题——DNA和RNA是如何演化出美妙的螺旋结构?
- Linux下使用PPTP ×××拔号的实现
- 配置ADB到Windows环境变量
- MySQL事务的回滚
- boost / vs2017 编译 boost 1.68.0 的过程说明
- Nmap参数--探索网络
- Android---自定义Toast
- 高大上的介绍实时流式计算!
- 业务监控系统如何做,一起来看看如何使用Statsd+Graphite+Grafana搭建业务监控系统
- 如何在gradle上仅运行一个测试类
- 测试音频质量的软件,音频质量PESQ得分评估原理与步骤
- android设备当广告屏使用方法,Android手机与电视无线HDMI同屏器使用教程
- 【MATLAB】基本绘图 ( Marker 设置 | 设置 Marker 边框 | 设置 Marker 填充 )
- 如何解决登录遇到Oops!Account deactivated错误
- 用osworkflow写一个请假例子
- 【wp7】简易的语音报时懒人闹钟
- tensorflow中的norm()函数 | axis=0,axis=1,axis=2
- 2018年电赛A题(电流检测设备)的复刻