公司的商城网站刚上线运营不到一个星期,网站就被攻击了,导致公司网站的短信通道被人恶意刷了几万条短信,损失较大,同时服务器也遭受到了前所未有的攻击。CPU监控看到网站在被盗刷短信验证码的时候,CPU一直保持在%95,网站甚至有些时候都无法打开。

网站被攻击后我登录了阿里云进去看了下,受到了很多阿里云提示的安全提醒,阿里云竟然没有给我拦截,我打电话咨询阿里云,阿里云竟然说我没有购买他们的云防火墙,阿里云客服还一再的推销让我们公司购买他们的云防火墙来防止短信验证码攻击,本身我也是做技术出身的,还是懂一些代码以及安全方面的,公司领导立即开会研究这个问题该如何解决,任命我带头负责处理此次的安全问题。


首先关于网站短信验证码被盗刷,从多个层面去分析漏洞产生的原因,基础带宽线路层,服务器层,网站层,三个方面去分析解决问题。

基础带宽应用层是:像DDOS,CC,带宽流量的攻击属于基础带宽,如果网站遭受到攻击,网站打不开,打开无法显示一般都是基础带宽应用层受到了攻击,防御办法也是通过高防服务器的硬防来防止攻击,但是也会造成误封。

服务器层面,服务器被攻击的话,一般也会造成短信验证码盗刷,攻击者入侵服务器,并在服务器里直接与短信验证码平台通信发送数据,多频率的发送,修改数据库,都会造成短信验证码的盗刷。

网站层,经过多年的技术开发与安全接触,短信验证码被盗刷,都是网站存在漏洞导致的,尤其写的代码并没有对请求的次数,以及请求的函数,请求IP,进行安全过滤,这次公司商城网站被盗刷短信很大一部分原因是代码上的漏洞,代码开发有问题,先从代码入手查看问题,检查了所有关于获取短信验证码调用的代码,在一个会员找回密码功能这里,我们发现了问题,代码里竟然没有对请求的次数,频率,IP,进行限制,导致攻击者利用该页面功能,POST伪造函数多次请求找回密码页面,导致短信被刷,瞬时间服务器都会遭受压力,CPU达到百分之95.针对这个漏洞,我们对代码漏洞进行了修复,限制请求次数,频率,手机号码唯一性判断,IP判断验证等等的安全策略来阻止短信验证码被盗刷。

至此短信被盗刷的问题得以解决,网站代码的开发环节真的很重要,在网站上线之前一定要对网站的安全进行测试,许多程序员在开发代码的时候只顾功能并不会考虑到安全问题,甚至有些程序员的安全意识很薄弱,导致代码出现sql注入漏洞,XSS跨站漏洞,数据库漏洞,等等问题,如果不懂如何修复网站漏洞,也可以找专业的网站安全公司来处理,国内也就Sinesafe和绿盟、启明星辰等安全公司比较专业.

专家点评:
该方案虽然短期解决了,但还是存在被继续攻击的可能, 攻击者只需要使用代理ip,不停变换手机号。同时,即使增加图形验证码在AI面前也形同虚设, 但新昕科技的企业短信防火墙方案则可以完美解决。

相关阅读 :

短信接口被恶意调用?企业短信防火墙+【中昱维信】短信验证码【Java】
小豆社保「社保代缴」短信接口被盗刷解决方案-企业短信防火墙

阿里云短信通道被人恶意刷了几万条短信,怎么办?(短信接口被盗刷系列3)相关推荐

  1. 阿里云首席科学家周靖人:数据智能引领产业变革

    10月24日(1024),是开发者的节日. 云栖社区也准备了一份特别的礼物:<2016杭州云栖大会回顾专题>,共计325+份PDF下载,100+场峰会与分论坛视频点播的专题送给大家! 也欢 ...

  2. 2023百度统计被人恶意刷广告解决办法

    百度统计被人恶意刷广告相信很多站长都经历过,很多朋友都拿他们没办法.虽然对网站没有什么影响,不过看着他们刷的那些广告也实在是恶心人. 小编我呢也测试过很多种方式进行屏蔽,不过都没有效果,网上现在最多的 ...

  3. 【阿里云资讯】澎湃专访阿里云首席科学家周靖人:中国数据创新很可能引领世界...

    [8月22日讯]在云栖大会上·北京峰会上,阿里云人工智能ET首次亮相.ET这段模仿阿里巴巴董事局主席马云的讲话腔调逗乐了在场观众. 点击图片观看视频 阿里云首席科学家大数据平台和人工智能研究机构  i ...

  4. 围观阿里云最会赚钱的人!价值2万元邀请码不限量发送

    听说云大使们发工资了,小编已经在论坛里看见有人迫不及待晒收入了 各位大使们,小编求抱大腿 请各位回复本帖晒出自己4月收入截图,即可赢取价值2万元的阿里云免费邀请码(30多种云产品6个月的使用期限) ( ...

  5. 阿里云相关——高速通道

    1.定义 阿里云高速通道可在本地数据中心----云上专有网络间建立高速.稳定.安全的私网通信.通过专线将您的本地内部网络连接到阿里云的接入点.一端接到本地的网关设备,另一端接到高速通道的边界路由器. ...

  6. php系统5000块钱的短信,两天被刷完了,短信接口被恶意盗刷怎么办?(短信接口被盗刷系列4)

    在php聊天群里,有位同学说 他们的5000块钱的短信,两天被刷完了!,问群里大佬怎么办! 就一般的防止短信验证盗刷而言(通过修改手机号修改验证码),我们通常的防止短信被滥发,就是 (1)限制每个手机 ...

  7. 07-整合阿里云oss用户认证就诊人CRUD平台统一管理用户

    文章目录 一.整合oss 1.注册开通阿里云oss 2.获取我们必须的参数 3.进入JavaSDK学习使用上传文件 (1)引入依赖 (3)文件上传(流式文件上传) 4.项目整合OSS (1)创建OSS ...

  8. 阿里云、腾讯云实人认证(身份证、人脸图像比对)

    调用第三方API,实现实名认证的功能. 阿里云实名认证 首先,导入maven依赖 <dependency><groupId>com.aliyun</groupId> ...

  9. 我们公司的短信接口被刷了,瞬间损失两万,怎么解决?(短信接口被盗刷系列1)

    1 我们公司的短信接口被刷了,瞬间损失两万 前两天的中午像往常一样热,太阳不知疲倦的在天空燃烧,热跑了云彩和鸟儿,马上就要点燃空气和我的脑神经.为我和电脑降温的,是我简陋的书桌上的小电扇,没有它的话, ...

  10. 攀钢集团开始使用阿里云ET工业大脑,预计节省成本超1000万

    5月8日,攀钢集团.阿里云.积微物联达成合作协议,三方将以阿里云为技术载体,以积微物联为平台,以攀钢集团为场景试点,深化ET工业大脑在钢铁生产领域的应用. 工业大脑将深入钢铁生产核心环节,大大降低钢铁 ...

最新文章

  1. 计算机大赛横幅标语有趣的,有趣的横幅标语
  2. lambda不是python的保留字_python-nonlocal关键字的使用,lambda表达式(学习到function到变...
  3. Mysql事务,并发问题,锁机制-- 幻读、不可重复读--专题
  4. IDEA代码自动换行
  5. /dev/mapper/VolGroup-lv_root空间爆满解决
  6. 爱情指数测试脸型软件,心理测试:你和谁的脸型最像?测出你的幸运指数是多少!...
  7. 编程语言难度排名_文言文可编程乎?CMU中国大四学生:开源文言文编程语言获1万+标星...
  8. php怎么设置浏览器禁止打开新窗口,JS打开新窗口防止被浏览器阻止的方法_javascript技巧...
  9. Linux京东签到教程,京东POP店铺签到有礼操作指南
  10. 《回炉重造》——Lambda表达式
  11. 小马智行将在北京开启公共道路无人驾驶测试
  12. 3月30日----4月3日二年级课程表
  13. Like What You Like: Knowledge Distill via Neuron Selectivity Transfer 论文翻译
  14. 大写锁定怎么解除(笔记本大写锁定怎么解除)
  15. 程序员前辈归纳整理Python中的控制流语句的知识点(要记得收藏)
  16. 企业发放的奖金根据利润提成计算
  17. 恒生电子工作、学习经验总结#3
  18. emq无法启用mysql_EMQ开启mysql认证
  19. 中国经济稳中有进态势依旧
  20. 大学计算机一级网络题,大学计算机一级考试试题及答案

热门文章

  1. thinkphp 5 验证码错误,可能与session保存路径不同有关
  2. Qt5开发的验厂考勤工资系统-计时计件综合版
  3. mysql order by 排序技巧
  4. Echarts 用GeoJson数据绘制地图
  5. 数据库作业8:SQL练习5 - SELECT(嵌套查询EXISTS、集合查询、基于派生表的查询)
  6. novipnoad电影网站分析
  7. maven依赖查询网站
  8. 安卓手机内外SD卡互换
  9. 案例:理想主义的猪与结果导向的猪
  10. 分析DuxCms之AdminUserModel