转自:https://zhuanlan.zhihu.com/p/20879468

一、什么是短信轰炸(短信接口被刷)

短信轰炸一般基于 WEB 方式(基于客户端方式的原理与之类似),由两个模块组成,包括:一个前端 Web 网页,提供输入被攻击者手机号码的表单;一个后台攻击页面(如 PHP),利用从各个网站上找到的动态短信 URL 和 前端输入的被攻击者手机号码,发送 HTTP 请求,每次请求给用户发送一个动态短信。

- 被攻击者大量接收非自身请求的短信,造成无法正常使用移动运营商业务。
- 短信接口被刷通常指的就网站的动态短信发送接口被此类短信轰炸工具收集,作为其中一个发送途径。

具体工作原理如下:

(1)恶意攻击者在前端页面中输入被攻击者的手机号;
(2)短信轰炸工具的后台服务器,将该手机号与互联网收集的可不需要经过认证即可发送动态短信的 URL 进行组合,形成可发送动态短信的 URL 请求;
(3)通过后台请求页面,伪造用户的请求发给不同的业务服务器;
(4)业务服务器收到该请求后,发送动态短信到被攻击用户的手机上。

二、短信轰炸的防护方案

鉴于短信轰炸的发起一般都是服务器行为,应该采用如下综合手段进行防御

(1)增加图形验证
(2)单IP请求次数限制
(3)限制号码发送

(一)增加图形验证

恶意攻击者采用自动化工具,调用“动态短信获取”接口进行动态短信发送,原因主要是攻击者可以自动对接口进行大量调用。
采用图片验证码可有效防止工具自动化调用,即当用户进行“获取动态短信” 操作前,弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效解决短信轰炸问题。

安全的图形验证码必须满足如下防护要求

- 生成过程安全:图片验证码必须在服务器端进行产生与校验;
- 使用过程安全:单次有效,且以用户的验证请求为准;
- 验证码自身安全:不易被识别工具识别,能有效防止暴力破解。

图形验证的示例:

(二)单IP请求次数限制

使用了图片验证码后,能防止攻击者有效进行“动态短信”功能的自动化调用;
但若攻击者忽略图片验证码验证错误的情况,大量执行请求会给服务器带来额外负担,影响业务使用。建议在服务器端限制单个 IP 在单位时间内的请求次数,一旦用户请求次数(包括失败请求次数)超出设定的阈值,则暂停对该 IP 一段时间的请求;若情节特别严重,可以将 IP 加入黑名单,禁止该 IP 的访问请 求。该措施能限制一个 IP 地址的大量请求,避免攻击者通过同一个 IP 对大量用户进行攻击,增加了攻击难度,保障了业务的正常开展。

(三)限制发送时长

建议采用限制重复发送动态短信的间隔时长, 即当单个用户请求发送一次动态短信之后,服务器端限制只有在一定时长之后(此处一般为60秒),才能进行第二次动态短信请求。该功能可进一步保障用户体验,并避免包含手工攻击恶 意发送垃圾验证短信。

完整的动态短信验证码使用流程

luosimao目前提供的免费图形验证码方案:

https://luosimao.com/service/captcha

如何防范短信接口被恶意调用(被刷),防止短信轰炸相关推荐

  1. 如何防范短信接口被恶意调用被刷,防止电信轰炸

    转自 https://zhuanlan.zhihu.com/p/20879468 一.什么是短信轰炸(短信接口被刷) 短信轰炸一般基于 WEB 方式(基于客户端方式的原理与之类似),由两个模块组成,包 ...

  2. 短信接口被恶意调用?企业短信防火墙+【中昱维信】短信验证码【Java】

    短信接口被恶意调用?企业短信防火墙+[中昱维信]短信验证码[Java] 一.企业短信防火墙的实现 1.1 简介 1.2 第一步:获取防火墙帐号密钥 1.3 第二步:下载防火墙服务器 1.4 第三步:业 ...

  3. 短信接口被恶意调用,瞬间损失两万,怎么解决?

    1 我们公司的短信接口被恶意调用,瞬间损失两万 前两天的中午像往常一样热,太阳不知疲倦的在天空燃烧,热跑了云彩和鸟儿,马上就要点燃空气和我的脑神经.为我和电脑降温的,是我简陋的书桌上的小电扇,没有它的 ...

  4. php系统5000块钱的短信,两天被刷完了,短信接口被恶意盗刷怎么办?(短信接口被盗刷系列4)

    在php聊天群里,有位同学说 他们的5000块钱的短信,两天被刷完了!,问群里大佬怎么办! 就一般的防止短信验证盗刷而言(通过修改手机号修改验证码),我们通常的防止短信被滥发,就是 (1)限制每个手机 ...

  5. 避免短信接口被黑客调用的方式

    短信服务接口安全是在开发或对接短信接口时尤为关注的问题.部分黑客可能出于恶意竞争或短信轰炸他人的目的,攻击短信服务接口,盗刷验证短信,造成资金损失.那么应该如何避免短信接口被恶意调用?本文为大家介绍一 ...

  6. 短信接口被恶意盗刷(验证码短信被盗刷)怎么办?

    短信验证码被刷怎么办? 一 事件简述 二 问题分析 三 应急解决方案 1 黑名单模式拦截 2 请求验证拦截 3 应急方案总结 四 最终解决方案 第一步:获取防火墙帐号密钥 第二步:下载防火墙服务器 第 ...

  7. 阿里大鱼的短信接口申请和调用

    阿里大鱼短信接口调用精简版(验证码类型) 接口网站 申请步骤 登录->控制台->使用短信服务->左侧(接口调用)->1.(获取AK->开始使用子用户AccessKey). ...

  8. java短信接口demo_java开发调用短信接口demo(动力思维乐信)

    下面为大家分享的是动力思维乐信在java开发下的demo核心代码,完整代码请点击下载:http://www.lx598.com/api/sdk2.0_java.zip 推荐阅读: 动力思维乐信短信接口 ...

  9. 253短信接口 PHP 直接调用

    <?php //namespace Vendor\Sms; class Sms{ private $API_SEND_URL='http://smssh1.253.com/msg/send/'; ...

最新文章

  1. python功能性爬虫案例_Python使用requests及BeautifulSoup构建爬虫实例代码
  2. 字节一实习生求助:晚上九点半在公司打游戏,被领导发现后开除,将来找工作会背调出来吗?...
  3. Asp.Net的控件如何与Server交互
  4. href 带参数 打开exe_js调用winform程序(带参数)
  5. stringr | 文本处理方法(Ⅰ-1):字符串处理函数(上)
  6. Java读取、创建Excel;验签,加密
  7. windows 7 help 帮助文件无法打开的解决
  8. C# 中用 PadLeft、PadRight 补足位数
  9. 2022年危险化学品生产单位安全生产管理人员试题模拟考试平台操作
  10. 胡小羊的前端专栏(1期)
  11. 克服舍不得花钱的心理_心理学如何提供一种方法来克服普遍否认电动汽车的好处
  12. 简洁的旅行青蛙个人主页纯静态HTML
  13. Docker Docker Habor一个比Register更加好用的仓库
  14. c c++ 信息服务查询服务器
  15. 使用定时任务向百度推送网站URL
  16. asp.net师电子化信息库的设计与实现(源代码+论文)ASP.NET汽车销售管理系统的设计与开发(源代码+论文)
  17. 英雄之舞 | 迷踪“安可心”
  18. 五月份的中国,太色了!
  19. JAVA体育用品在线商城系统-springboot【数据库设计、源码、开题报告】
  20. 慕容复的故事告诉我们:应试教育害死人

热门文章

  1. 仓储软件局域网如何共享
  2. HTML5大纲算法(HTML5 Outliner)
  3. linux调节cpu转速,Linux下调节CPU使用的几种方法
  4. WordPress主题 Tob 自适应响应式小清新无限加载图片主题[更新v0.5]
  5. 【正能量】感谢CSDN颁发准专家勋章
  6. 专利大户百度秀肌肉,秀出了什么?
  7. 【1.1模拟量和数字量】
  8. halcon 21.05深度学习下载和安装
  9. java tabpanel_Ext tabpanel的隐藏显示
  10. 探索TD源链在生活中的应用场景