企業(yè)應(yīng)用中動(dòng)態(tài)短信驗(yàn)證碼安全防護(hù)方案
2018-04-27 00:00:00
來(lái)源:
點(diǎn)擊:13202
喜歡:0
短信炸彈形成的原因是因?yàn)榉鞘跈?quán)的動(dòng)態(tài)短信獲取�,而由于業(yè)務(wù)的需要(如注冊(cè)�����、好友邀請(qǐng)等)��,在使用動(dòng)態(tài)短信業(yè)務(wù)前系統(tǒng)并不能建立業(yè)務(wù)關(guān)聯(lián)。因此����,在未建立業(yè)務(wù)關(guān)聯(lián)的情況下,需要進(jìn)一步嚴(yán)格限制保證業(yè)務(wù)使用的安全性��。
針對(duì)短信炸彈問(wèn)題�����,建議綜合采用:增加圖片驗(yàn)證碼��、單IP請(qǐng)求次數(shù)限制����、限制發(fā)送時(shí)長(zhǎng)限制3個(gè)措施��,防護(hù)“動(dòng)態(tài)短信獲取”功能與業(yè)務(wù)接口�����。
措施描述以及針對(duì)性解決的問(wèn)題
1�����、使用安全圖片驗(yàn)證碼:防止通過(guò)自動(dòng)化工具進(jìn)行攻擊請(qǐng)求
2、單IP的請(qǐng)求次數(shù)限定:防止攻擊者對(duì)服務(wù)器進(jìn)行大量無(wú)效請(qǐng)求(在圖片驗(yàn)證碼未破解的情況下���,自動(dòng)化工具形成錯(cuò)誤請(qǐng)求)�����,增加服務(wù)器負(fù)擔(dān)
3�、單用戶動(dòng)態(tài)短信請(qǐng)求間隔時(shí)長(zhǎng)限制:防止對(duì)單個(gè)用戶形成手工攻擊��;防止圖片驗(yàn)證碼失效后對(duì)用戶形成大量攻擊���。
措施一:使用安全的圖片驗(yàn)證碼
惡意攻擊者采用自動(dòng)化工具��,調(diào)用“動(dòng)態(tài)短信獲取”接口進(jìn)行動(dòng)態(tài)短信發(fā)送�,究其原因是攻擊者可以自動(dòng)對(duì)接口進(jìn)行大量調(diào)用�。
采用圖片驗(yàn)證碼可有效防止工具自動(dòng)化調(diào)用,即當(dāng)用戶進(jìn)行“獲取動(dòng)態(tài)短信”操作前��,彈出圖片驗(yàn)證碼�,要求用戶輸入驗(yàn)證碼后,服務(wù)器端再發(fā)送動(dòng)態(tài)短信到用戶手機(jī)上����,該方法可有效解決被利用實(shí)施炸彈攻擊的問(wèn)題�����。
安全的圖片驗(yàn)證碼必須滿足:
生成過(guò)程安全:圖片驗(yàn)證碼必須在服務(wù)器端進(jìn)行產(chǎn)生與校驗(yàn)��;
使用過(guò)程安全:?jiǎn)未斡行?����,且以用戶的?yàn)證請(qǐng)求為準(zhǔn);
驗(yàn)證碼自身安全:不易被識(shí)別工具識(shí)別��,能有效防止暴力破解���。
措施二:?jiǎn)?/span>IP的請(qǐng)求次數(shù)限定
使用了圖片驗(yàn)證碼后��,能防止攻擊者有效進(jìn)行“動(dòng)態(tài)短信”功能的自動(dòng)化調(diào)用�;但若攻擊者忽略圖片驗(yàn)證碼驗(yàn)證錯(cuò)誤的情況�����,大量執(zhí)行請(qǐng)求會(huì)給服務(wù)器帶來(lái)額外負(fù)擔(dān)�,影響業(yè)務(wù)使用。建議在服務(wù)器端限制單個(gè)IP在單位時(shí)間內(nèi)的請(qǐng)求次數(shù),一旦用戶請(qǐng)求次數(shù)(包括失敗請(qǐng)求次數(shù))超出設(shè)定的閾值�����,則暫停對(duì)該IP一段時(shí)間的請(qǐng)求���;若情節(jié)特別嚴(yán)重�����,可以將IP加入黑名單�����,禁止該IP的訪問(wèn)請(qǐng)求�����。該措施能限制一個(gè)IP地址的大量請(qǐng)求���,避免攻擊者通過(guò)同一個(gè)IP對(duì)大量用戶進(jìn)行攻擊,增加了攻擊難度�����,保障了業(yè)務(wù)的正常開展。
該閾值設(shè)定可依據(jù)業(yè)務(wù)的不同執(zhí)行設(shè)定�����,一般情況下建議不超過(guò)200個(gè)/分鐘�。
措施三: 單用戶動(dòng)態(tài)短信請(qǐng)求間隔時(shí)長(zhǎng)限制
為進(jìn)一步優(yōu)化業(yè)務(wù)正常使用,建議采用限制重復(fù)發(fā)送動(dòng)態(tài)短信的間隔時(shí)長(zhǎng)�,即當(dāng)單個(gè)用戶請(qǐng)求發(fā)送一次動(dòng)態(tài)短信之后,服務(wù)器端鎖定如:30秒后���,才能進(jìn)行第二次動(dòng)態(tài)短信請(qǐng)求��。該功能可進(jìn)一步保障用戶體驗(yàn)���,并避免包含手工攻擊惡意發(fā)送垃圾驗(yàn)證短信���。
嘉之元云通信為客戶提短信驗(yàn)證碼��、短信營(yíng)銷�����、國(guó)際短信�、智能外呼機(jī)器人等服務(wù)!其在互聯(lián)網(wǎng)行業(yè)深耕近10年�,在驗(yàn)證碼短信、營(yíng)銷短信��、國(guó)際短信�����、智能語(yǔ)音機(jī)器人方面與業(yè)內(nèi)資深企業(yè)強(qiáng)強(qiáng)聯(lián)合��,產(chǎn)品服務(wù)水平一直處于行業(yè)領(lǐng)先水平,深受廣大客戶的認(rèn)可��,嘉之元云通信將一如既往的為您提供一流的服務(wù)����。
上一篇:駕校通知短信內(nèi)容范文
下一篇:智能電話機(jī)器人--金融股票行業(yè)話術(shù)案例
流量二維碼
業(yè)務(wù)經(jīng)理1
業(yè)務(wù)經(jīng)理2
