短信业务 防恶意攻击解决方案
一、方案概述
短信验证码接口被恶意攻击,不仅会会造成大额的短信服务费用,更会对用户造成骚扰,引起投诉,降低公司形象。
二、系统涉及短信业务场景
略。
三、恶意攻击的途径
由于裸露短信发送接口的漏洞,恶意攻击短信验证码接口的主要途径有,一是其他应用偷用接口调用发送短信;二是通过接口工具,导入手机号码库,批量调用短信验证码发送,若使用后者,造成的影响是相当大的。
四、详细解决方案
(一)增加行为式验证码
将行为式验证码和短信验证码校验进行绑定,当用户输入手机号码以后,需要输入图形校验码才可以发送短信,这样能比较有效的防止软件恶意点击。常见的行为验证方式主要有:智能无感知、滑动拼图、文字点选、图标点选、图文验证码等,文字点选验证方式如下图1所示。
图1 文字点选验证方式
结合实际业务,目前更为方便的是采取图文验证码防止短信恶意攻击,通过输入大小写正确的字符串和图片所展示的图文进行比对校验,比对成功才能进行下一步的获取短信验证码操作,图文验证码原型图如下图2所示。
(二)IP请求次数限制和黑名单
根据当前的业务特点,设置每个IP每天的最大发送量。在服务器端限制单个IP在单位时间内的请求次数,一旦用户请求次数(包括失败请求次数)超出设定的阈值,则暂停该IP一段时间内的请求。若IP访问请求次数过多,可以将IP加入黑名单,禁止该IP的访问请求。该措施能限制同一个IP地址的大量请求,避免攻击者通过同一个IP对大量用户进行攻击。这样做,增加了攻击难度,保障了业务的正常开展。具体的业务处理可以使用过滤器统计用户访问次数,记录访问时间、封禁时间。使用监听器来作为工程运行时初始化IP存储器。
(三)屏蔽短信验证码页面的链接
在短信验证码页面使用 JS 屏蔽分享和复制链接功能,防止链接被人恶意调用和攻击。
(四)接口加密
对外开发的API接口都会面临一些安全问题。利用API接口签名能方便的防范这些安全问题和风险。针对短信验证码接口的恶意攻击也同样适用。根据访问中的签名信息验证访问请求者身份进而来防止恶意攻击。
具体使用AccessKeyID和AccessKeySecret对称加密验证实现。其中AccessKeyID是访问者身份,AccessKeySecret是加密签名字符串和服务器端验证签名字符串的密钥。
短信业务 防恶意攻击解决方案相关推荐
- 防止短信接口验证码恶意攻击
一.易遭恶意使用的场景或网站 (1)网络在线投票站(需要填写手机号码进行校验) (2)用户在线注册页面(包含手机短信验证功能) (3)手机短信动态密码登录 二,用户恶意点击手机短信验证码主要有两种途径 ...
- 短信平台被恶意攻击怎么防御
最近有不少同行或客户的短信平台所在服务器被攻击,最常见的就是DDoS. DDoS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包 ...
- 短信接口防刷防轰炸解决方案Java接入教程- 企业短信防火墙+ 【中昱维信】短信验证码
企业短信防火墙[新昕科技]+短信验证码[中昱维信]Java应用实例 一.企业短信防火墙的实现 1.1 简介 1.2 第一步:获取防火墙帐号密钥 1.3 第二步:下载防火墙服务器 1.4 第三步:业务系 ...
- 短信接口被恶意盗刷(验证码短信被盗刷)怎么办?
短信验证码被刷怎么办? 一 事件简述 二 问题分析 三 应急解决方案 1 黑名单模式拦截 2 请求验证拦截 3 应急方案总结 四 最终解决方案 第一步:获取防火墙帐号密钥 第二步:下载防火墙服务器 第 ...
- 短信接口被恶意调用?企业短信防火墙+【中昱维信】短信验证码【Java】
短信接口被恶意调用?企业短信防火墙+[中昱维信]短信验证码[Java] 一.企业短信防火墙的实现 1.1 简介 1.2 第一步:获取防火墙帐号密钥 1.3 第二步:下载防火墙服务器 1.4 第三步:业 ...
- java黑名单校验_短信验证码被刷怎么办?java 短信验证码防刷策略
一 事件简述 这是一件发生在前段时间的事情,当时的情况是这样的:一个新的功能模块上线之后,出现短信接口被恶意访问调用的情况,请求数量很大,而且通过查看短信服务商控制台也发现,短信发送量在飙升,看着统计 ...
- java调用短信验证失败_短信验证码被刷怎么办?java 短信验证码防刷策略
一 事件简述 这是一件发生在前段时间的事情,当时的情况是这样的:一个新的功能模块上线之后,出现短信接口被恶意访问调用的情况,请求数量很大,而且通过查看短信服务商控制台也发现,短信发送量在飙升,看着统计 ...
- 产品防护:5种常见的短信验证码防刷策略
短信验证码作为重要的身份验证工具,因其操作简便.安全性高.时效性强等优点已被开发人员广泛使用.但因其获取便利.限制较少容易被不法分子利用进行短信轰炸,恶意刷掉大量短信费用,给公司或个人造成大量的金钱损 ...
- 短信接口被恶意调用,瞬间损失两万,怎么解决?
1 我们公司的短信接口被恶意调用,瞬间损失两万 前两天的中午像往常一样热,太阳不知疲倦的在天空燃烧,热跑了云彩和鸟儿,马上就要点燃空气和我的脑神经.为我和电脑降温的,是我简陋的书桌上的小电扇,没有它的 ...
最新文章
- 10.2 梯度下降-机器学习笔记-斯坦福吴恩达教授
- IOS开发之sqlite封装
- SQL注入学习——Bool盲注详解 sqli-labs(Less 8)
- 【tfcoreml】tensorflow向CoreML模型的转换工具封装
- android 获取相机方向,android – 从相机捕捉图像,导致炸毁方向
- php insert方法,lInsert 命令/方法/函数
- 在finally块中使用try catch,并且catch的时候抛出异常的一个问题
- Kubernetes 小白学习笔记(1)--基本概念1
- 谷歌翻译接口_QTranslate:电脑全局翻译神器
- 查看CentOS版本信息
- opencv实现图片及视频流(摄像头)的人脸检测
- 百度人脸识别 人脸识别模型_人脸识别的现代君主制
- GEF教程及demo源码
- Unity+高通Vuforia SDK——AR
- 襄阳联通推“终端+物联网卡+M2M”OA方案
- Ubuntu下常用的快捷键
- 真实故事:他用了3天时间写个程序,日入30万
- easy_yinkelude 简单的文件包含
- 网优谷说明域名后缀对SEO有影响吗?
- c语言中全局变量多线程调用-局部变量、静态局部变量、全局变量与静态全局变量分析