聊聊短信接口攻击的防范方案
从Web2.0到移动互联网时代后,越来越多的产品功能开始使用短信验证功能,注册/登录/密码找回/支付.. ,可以说短信服务(接口)已经成为最重要的技术基础设施之一。也正是因为重要,越来越多的恶意攻击事件开始围绕着短信接口进行,很多团队也因此踩过坑。所以,今天梳理一下常用的短信攻击防范措施,供大家参考。
一,身份验证
1. 图形校验码和手机验证码进行绑定,当用户输入手机号码以后,需要输入图形校验码或者根据图形进行某种逻辑运算(比如25 + 壹 = ?)才可以触发短信,这样能比较有效的防止软件恶意点击。
2. 触点验证:让用户选择某个指定的某些图标或文字,典型案例有12306火车售票,不过用户体验会受到比较大的影响,效率和安全很多时候就是一对矛盾体。特别是要求选择的物品比较奇葩的时候,在某种程度上“伤害”了最普通的用户。-_-!
3. 滑动验证:目前越来越流行的方式,主要是通过鼠标拖动来实现验证,
对于普通的图形验证码容易被各种暴力机械破解,而滑动验证只能监听鼠标动作,不能通过数据验证,达到防止机械破解的作用。
以上三种做法,都有现成的开源类库作为参考,可以在上面根据自身的情况做二次开发。
二,业务流程限定
通过设定特定的业务流程来阻止攻击脚本,比如以下两个方案:
1. 将流程进行一分为二,先进行业务操作,再进行短信验证。例如,将手机短信验证和用户名注册分成两个步骤,用户在注册成功用户名密码后,下一步才进行手机短信验证。简单来说,拿不到新用户的身份信息,短信是不会触发成功的。
2. 必须填写相关信息才能触发短信,例如,用户必须填写好所有注册信息才可进行触发,注册资料不完整无法发送验证码。
三,触发限制
通过挖掘和限定非正常的用户行为,对短信的触发进行管控,一般有以下三类做法:
1. 发送间隔设置,设置同一号码重复发送的时间间隔,一般设置的间隔为60-120秒;
2. 触发IP限定,设置每个IP每天的最大发送量;
3. 发送量限定,设置每个手机号码每天的最大发送量;
除此之外,请在验证码内容加上退订操作,如:回复TD拒收;退订回复TD等相关内容。当非用户触发接收的短信,用户回复TD以后,平台将会将其列入拒发数据库,将会停止对该号码发送。
除此之外,如果你遇到有棘手的短信攻击问题,可以给我留言,大家一道讨论。
扫描二维码或手动搜索微信公众号【架构栈】: ForestNotes
欢迎转载,带上以下二维码即可
点击“阅读原文”,所有【架构栈】近期的架构文章汇总
聊聊短信接口攻击的防范方案相关推荐
- 短信接口攻击事件(一)紧张的遭遇战险胜
作者:13 GitHub:https://github.com/ZHENFENG13 版权声明:本文为原创文章,未经允许不得转载. 事件简述 这是一件发生在前段时间的事情,当时的情况是这样的:一个新的 ...
- 会员注册短信接口被攻击,如何防刷?
网站或者APP注册页面,因为获取短信验证码的功能是暴露在外的,短信接口有可能被短信轰炸机攻击,那短信验证码防刷策略如何做呢?首先我们来了解一下短信接口攻击: 什么是短信接口攻击? 个别用户出于不正当目 ...
- 如何防范短信接口被恶意调用被刷,防止电信轰炸
转自 https://zhuanlan.zhihu.com/p/20879468 一.什么是短信轰炸(短信接口被刷) 短信轰炸一般基于 WEB 方式(基于客户端方式的原理与之类似),由两个模块组成,包 ...
- 如何防范短信接口被恶意调用(被刷),防止短信轰炸
转自:https://zhuanlan.zhihu.com/p/20879468 一.什么是短信轰炸(短信接口被刷) 短信轰炸一般基于 WEB 方式(基于客户端方式的原理与之类似),由两个模块组成,包 ...
- 游戏安全资讯精选 2018年第二期:游戏行业年度白皮书;手游外挂、直播答题安全风险解析,近30%外挂手游存在致命安全问题,八招应对短信验证码攻击...
[游戏行业安全动态]游戏行业年度白皮书 概要:刚刚结束的2017年,作为游戏行业买量竞争升级的一年,广告主纷纷表示压力山大,用户获取成本已经高到了临界点,而各个广告平台则希望在2018年广告收入还能再 ...
- 一次短信验证码攻击的应急响应
前言 前段时间客户现场被攻击,客户找到了公司,公司找到了我,于是有了这一次的应急响应,因为第一次搞,所以记录一下整个过程. 一.要做什么 刚开始不知道干啥,非常迷茫,通过老大的教导,事后总结了下面几条 ...
- 短信接口被恶意盗刷(验证码短信被盗刷)怎么办?
短信验证码被刷怎么办? 一 事件简述 二 问题分析 三 应急解决方案 1 黑名单模式拦截 2 请求验证拦截 3 应急方案总结 四 最终解决方案 第一步:获取防火墙帐号密钥 第二步:下载防火墙服务器 第 ...
- php系统5000块钱的短信,两天被刷完了,短信接口被恶意盗刷怎么办?(短信接口被盗刷系列4)
在php聊天群里,有位同学说 他们的5000块钱的短信,两天被刷完了!,问群里大佬怎么办! 就一般的防止短信验证盗刷而言(通过修改手机号修改验证码),我们通常的防止短信被滥发,就是 (1)限制每个手机 ...
- 避免短信接口被黑客调用的方式
短信服务接口安全是在开发或对接短信接口时尤为关注的问题.部分黑客可能出于恶意竞争或短信轰炸他人的目的,攻击短信服务接口,盗刷验证短信,造成资金损失.那么应该如何避免短信接口被恶意调用?本文为大家介绍一 ...
最新文章
- 你真懂JavaScript吗?
- NetDevOps — ncclient
- android 安装环境及入门
- Java多线程(3) Volatile的实现原理
- 安装SQL提示重启电脑失败,解决办法
- 别纠结,提高代码整洁度也没那么难!
- uva 1378 - A Funny Stone Game sg博弈
- 二范数-特征值的意义-矩阵范数-向量范数-
- 如何在 iPhone、iPad 和 Mac 上通过 iMessage 共享照片和视频?
- angular 注入器配置_Angular 的服务逻辑
- 浅谈SQL注入攻击与防御(适用于小白观看)
- 计算机启动太慢可以设置什么来加速启动速度,电脑开机启动慢怎么办?教你4种设置方法,轻松加快win10开机速度!...
- 一阶电路实验报告心得_一阶rc电路实验总结
- SQL 注入速查表大全
- solidity经典案例----智能小游戏
- 调用第三方API ,实现手机号码归属地及运营商查询
- 解决微信小程序录制视频存在的问题
- html5如何快速选择工具使用技巧,PS新手抠图必掌握!超有用的快速选择工具
- 国企招聘属于事业单位吗
- 免费分享下载最新全国省市区县和乡镇街道行政区划矢量边界坐标经纬度地图数据 shp geojson json sql格式
热门文章
- Excel宏被禁用解决办法
- MEM/MBA 写作-论证有效性分析(09)逻辑缺陷-误用百分数滑坡谬误
- 数字视频的发展从1080i到720p再到1080p
- Driver中使用的内核机制
- 阿里云数据库与传统数据库有何区别?
- Android封装sdk页面为h5,Android/H5混合 SDK 集成文档
- mysql gprs 程序_基于STM32控制的GPS定位与GPRS发送数据(程序源码)
- Python生成器与迭代器
- kafka报错:The Cluster ID doesn‘t match stored clusterId Some in meta.properties
- HDU 2011 多项式求和