短信接口防攻擊的幾個方案
2018-03-20 00:00:00
來源:
點(diǎn)擊:5338
喜歡:0
從Web2.0到移動互聯(lián)網(wǎng)時代后����,越來越多的產(chǎn)品功能開始使用短信驗(yàn)證功能�����,注冊/登錄/密碼找回/支付.. ��,可以說短信驗(yàn)證碼接口已經(jīng)成為最重要的技術(shù)基礎(chǔ)設(shè)施之一�。也正是因?yàn)橹匾絹碓蕉嗟膼阂夤羰录_始圍繞著短信接口進(jìn)行�,很多團(tuán)隊(duì)也因此踩過坑。所以��,今天梳理一下常用的短信攻擊防范措施�����,供大家參考�。
一,身份驗(yàn)證1. 圖形校驗(yàn)碼和手機(jī)驗(yàn)證碼進(jìn)行綁定����,當(dāng)用戶輸入手機(jī)號碼以后��,需要輸入圖形校驗(yàn)碼或者根據(jù)圖形進(jìn)行某種邏輯運(yùn)算(比如25 + 壹 = ?)才可以觸發(fā)短信�����,這樣能比較有效的防止軟件惡意點(diǎn)擊�。2. 觸點(diǎn)驗(yàn)證:讓用戶選擇某個指定的某些圖標(biāo)或文字,典型案例有12306火車售票�����,不過用戶體驗(yàn)會受到比較大的影響�����,效率和安全很多時候就是一對矛盾體���。特別是要求選擇的物品比較奇葩的時候�,在某種程度上“傷害”了最普通的用戶����。3. 滑動驗(yàn)證:目前越來越流行的方式,主要是通過鼠標(biāo)拖動來實(shí)現(xiàn)驗(yàn)證,對于普通的圖形驗(yàn)證碼容易被各種暴力機(jī)械破解��,而滑動驗(yàn)證只能監(jiān)聽鼠標(biāo)動作����,不能通過數(shù)據(jù)驗(yàn)證,達(dá)到防止機(jī)械破解的作用����。以上三種做法,都有現(xiàn)成的開源類庫作為參考����,可以在上面根據(jù)自身的情況做二次開發(fā)。二�,業(yè)務(wù)流程限定通過設(shè)定特定的業(yè)務(wù)流程來阻止攻擊腳本,比如以下兩個方案:1. 將流程進(jìn)行一分為二�����,先進(jìn)行業(yè)務(wù)操作���,再進(jìn)行短信驗(yàn)證�。例如��,將手機(jī)短信驗(yàn)證和用戶名注冊分成兩個步驟,用戶在注冊成功用戶名密碼后���,下一步才進(jìn)行手機(jī)短信驗(yàn)證�����。簡單來說,拿不到新用戶的身份信息���,短信是不會觸發(fā)成功的��。2. 必須填寫相關(guān)信息才能觸發(fā)短信�,例如����,用戶必須填寫好所有注冊信息才可進(jìn)行觸發(fā),注冊資料不完整無法發(fā)送驗(yàn)證碼�。三,觸發(fā)限制通過挖掘和限定非正常的用戶行為��,對短信的觸發(fā)進(jìn)行管控�,一般有以下三類做法:1. 發(fā)送間隔設(shè)置,設(shè)置同一號碼重復(fù)發(fā)送的時間間隔����,一般設(shè)置的間隔為60-120秒���;2. 觸發(fā)IP限定,設(shè)置每個IP每天的最大發(fā)送量���;3. 發(fā)送量限定���,設(shè)置每個手機(jī)號碼每天的最大發(fā)送量;除此之外����,請?jiān)隍?yàn)證碼內(nèi)容加上退訂操作,如:回復(fù)TD拒收����;退訂回復(fù)TD等相關(guān)內(nèi)容。當(dāng)非用戶觸發(fā)接收的短信�����,用戶回復(fù)TD以后���,平臺將會將其列入拒發(fā)數(shù)據(jù)庫�����,將會停止對該號碼發(fā)送����。如果你遇到有棘手的短信攻擊問題,可以與我們聯(lián)系���,我們的技術(shù)人員可以幫您一起解決�����。
嘉之元云通信為客戶提供優(yōu)質(zhì)國際短信、國內(nèi)106短信平臺�����,國際直連通道可發(fā)群發(fā)短信任何國家和地區(qū)��,其驗(yàn)證碼短信�、營銷短信等106短信接口已服務(wù)了近兩萬家企業(yè),短信api接口提供SDK模塊��,可幫助客戶快速接入
上一篇:國際營銷短信系統(tǒng)具有哪些職能���?
下一篇:如何使用短信營銷增加銷售額
流量二維碼
業(yè)務(wù)經(jīng)理1
業(yè)務(wù)經(jīng)理2
