在手机应用程序、电商、银行、网站等互联网行业,经常使用短信验证码来进行身份验证,以确保用户身份真实有效,但许多企业也会遇到短信验证码接口遭到恶意攻击的事件,用户恶意点击手机短信验证码,不仅会增加公司的运营成本,而且还会给公司的形象带来极坏的影响(一般短信都会有公司的签名),因此必须对这种行为加以防范,那么,企业如何防范短信验证码接口遭到恶意攻击或短信接口被刷呢?

1、添加图像验证机制

把图形校验码与手机验证码绑定起来,当用户输入手机号码后,需要输入图形校验码才可以触发短信,这样可以比较有效地防止软件恶意点击。目前,大网站都采用这种方法。

对于不同的业务场景,分别做出不同的处理,添加注册页面的图形验证码机制,对忘记密码的页面我们采用分步校验,用户名密码先校验,收到成功回执后在发送短信验证码。

安全性图形验证代码必须符合下列保护要求:

构建过程安全:图片验证代码必须生成并校验服务器端;

安全的使用流程:一次有效,并以用户确认请求为准;

验证码本身的安全性:识别工具不易识别,可有效防止暴力破解。

2、限制单一IP请求的数量

短信验证码接口使用图片验证码后,可以有效地防止攻击者自动调用动态短信功能,但是如果攻击者忽略图片验证码验证错误的情况下,大量请求执行会增加服务器负担,从而影响业务使用。提出在服务器端限制单个IP在单位时间内的请求数,当用户请求数(包括失败请求数)超过设定的阈值时,暂停该IP的请求数;如果情节特别严重,可以将该IP列入黑名单,禁止该IP的访问请求。这种方法可以限制一个IP地址的请求数,避免攻击者通过同一IP对大量用户进行攻击。

3、号码限制

基于企业的特点,将每一个手机号码每天最多发送一次短信验证码的限制提高,增加对同一手机号码每天发送验证码的总次数限制,如果该手机号码连续2-3天收到相同短信验证码请求,则直接加入黑名单。

4、传送间隔限制

这种限制已经很普遍了,当一个用户请求发送动态短信后,服务器端的限制只在特定的时间之后(这里通常是60-120)才会执行第二个动态短信请求。这一特性可以进一步保证用户体验,避免包含恶意发送垃圾信息的人工攻击。

5、过程限制

若为忘记密码功能相似的网页,则可将手机短信验证和用户密码设置分为两步,用户在设置完用户密码,并需要获得前一步成功回执后,才可发送手机验证码。

普通短信验证码接口比较容易受到恶意攻击的网站或场景有网上在线投票,用户在线注册,手机短信动态密码登陆等。当监测短信验证码发送时,如果发现短信验证码发送有异常,则对最近的短信验证码发送进行分析,例如同一手机号的发送频率,某一时间段的发送频率,持续时间等,如果短信验证码接口遭到恶意攻击,则首先要确定短信验证码接口被攻击的地址和攻击方式。

上述就是为大家介绍的防恶意攻击短信验证码接口的解决方案,有更好的解决方案欢迎留言建议哦。

原文来自邦阅网 (52by.com) - www.52by.com/article/50377

声明:该文观点仅代表作者本人,邦阅网系信息发布平台,仅提供信息存储空间服务,若存在侵权问题,请及时联系邦阅网或作者进行删除。

评论
登录 后参与评论
发表你的高见