一、什么是短信轰炸(短信接口被刷)
短信轰炸一般基于 WEB 方式(基于客户端方式的原理与之类似),由两个模块组成,包括:一个前端 Web 网页,提供输入被攻击者手机号码的表单;一个后台攻击页面(如 PHP),利用从各个网站上找到的动态短信 URL 和 前端输入的被攻击者手机号码,发送 HTTP 请求,每次请求给用户发送一个动态短信。
- 被攻击者大量接收非自身请求的短信,造成无法正常使用移动运营商业务。
- 短信接口被刷通常指的就网站的动态短信发送接口被此类短信轰炸工具收集,作为其中一个发送途径。
(1)恶意攻击者在前端页面中输入被攻击者的手机号;
(2)短信轰炸工具的后台服务器,将该手机号与互联网收集的可不需要经过认证即可发送动态短信的 URL 进行组合,形成可发送动态短信的 URL 请求;
(3)通过后台请求页面,伪造用户的请求发给不同的业务服务器;
(4)业务服务器收到该请求后,发送动态短信到被攻击用户的手机上。
二、短信轰炸的防护方案
鉴于短信轰炸的发起一般都是服务器行为,应该采用如下综合手段进行防御
(2)单IP请求次数限制
恶意攻击者采用自动化工具,调用“动态短信获取”接口进行动态短信发送,原因主要是攻击者可以自动对接口进行大量调用。
采用图片验证码可有效防止工具自动化调用,即当用户进行“获取动态短信” 操作前,弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效解决短信轰炸问题。
安全的图形验证码必须满足如下防护要求
- 生成过程安全:图片验证码必须在服务器端进行产生与校验;
- 使用过程安全:单次有效,且以用户的验证请求为准;
- 验证码自身安全:不易被识别工具识别,能有效防止暴力破解。
(二)单IP请求次数限制
使用了图片验证码后,能防止攻击者有效进行“动态短信”功能的自动化调用;
但若攻击者忽略图片验证码验证错误的情况,大量执行请求会给服务器带来额外负担,影响业务使用。建议在服务器端限制单个 IP 在单位时间内的请求次数,一旦用户请求次数(包括失败请求次数)超出设定的阈值,则暂停对该 IP 一段时间的请求;若情节特别严重,可以将 IP 加入黑名单,禁止该 IP 的访问请 求。该措施能限制一个 IP 地址的大量请求,避免攻击者通过同一个 IP
对大量用户进行攻击,增加了攻击难度,保障了业务的正常开展。
建议采用限制重复发送动态短信的间隔时长, 即当单个用户请求发送一次动态短信之后,服务器端限制只有在一定时长之后(此处一般为60秒),才能进行第二次动态短信请求。该功能可进一步保障用户体验,并避免包含手工攻击恶 意发送垃圾验证短信。
完整的动态短信验证码使用流程
网站手机短信验证是网站、App校验用户手机号码真实性的首要途径,在为网站及APP提供便利的同时,手机短信验证功能也会被部分用户进行恶意使用。
一、 易遭恶意使用的场景或网站
1、 网络在线投票站(需要填写手机号码进行校验)
2、 用户在线注册页面(包含手机短信验证功能)
3、 手机短信动态密码登录
二、 恶意点击手机短信验证码的途径
用户恶意点击手机短信验证码主要有两种途径,一种是人工频繁点击;一种是通过软件连续点击,就危害性来说,软件连续点击的危害要大的多。
三、 防止用户恶意点击手机短信验证码的手段
用户恶意点击手机短信验证码,不仅会增加公司的运营成本,也会给公司的形象造成极坏的影响(一般短信都会带公司的签名),所以必须要对这种行为进行防范,目前,防范的手段主要有以下几个方面:
1、 短信发送间隔设置——设置同一号码重复发送的时间间隔,一般设置为60-120秒
2、 IP限定——根据自己的业务特点,设置每个IP每天的最大发送量
3、 手机号码限定——根据业务特点,设置每个手机号码每天的最大发送量
4、 流程限定——将手机短信验证和用户名密码设置分成两个步骤,用户在设置成功用户名密码后,下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验。
5、 绑定图型校验码——将图形校验码和手机验证码进行绑定,这样能比较有效的防止软件恶意注册(如右图所示)。
更加详细的防范说明,请
原标题:怎样预防短信接口验证码遭到恶意点击
短信接口的验证码是一个网站、APP程序校验用户手机号码是不是真实的一个重要方法。短信接口验证码在给网站以及APP提供方便的同时,有一部分用户也会对手机短信验证功能进行恶意的点击。那么怎样才能防止恶意点击验证码的情况发生呢?
一、容易被恶意点击的场景以及网站
1、在线投票网站,需要填写用户的手机号码完成验证。
2、在线注册的网站页面,里面也有手机短信验证的功能。
3、手机短信动态验证码登录。
二、手机短信验证码恶意点击的方式
用户恶意点击短信接口验证码的方法基本上就是两种:一种是人工进行频繁的点击;还有一种就是利用软件来进行连续的点击。从危害性方面来看,软件进行连续恶意点击的危害要比人工点击大很多。
三、如何防止用户恶意进行短信接口验证码点击
用户恶意点击手机短信验证码不但会增加公司的经营成本,而且还会对公司的形象带来非常坏的负面影响。因为一般短信都会有公司的签名。因此一定要对恶意点击的行为进行防范。目前,主要的防范手段有下面几种:
1、短信发送时间间隔进行限制
同样一个手机号码重复发送验证码的时间进行设置,一般设置成一分钟到2分钟发送一次。
按照自己的业务特点,对每个IP每天能够发送的验证码数量进行限制。
根据自己业务的特点,对每一个手机号码每天能够发送的量进行限制。
把手机的短信验证码以及用户的密码设置为两个步骤,用户在成功设置用户密码之后,才能开始接受手机短信验证,并且要在第一步成功获得回执之后才能开始进行校验。
将图形校验码和手机短信接口验证码进行绑定,这样可以防止软件进行恶意的点击。
更多精彩内容请关注:短信验证码平台
