企業(yè)應(yīng)用中動態(tài)短信驗證碼安全防護(hù)方案
2018-04-27 00:00:00
來源:
點擊:13785
喜歡:0
短信炸彈形成的原因是因為非授權(quán)的動態(tài)短信獲取���,而由于業(yè)務(wù)的需要(如注冊��、好友邀請等)��,在使用動態(tài)短信業(yè)務(wù)前系統(tǒng)并不能建立業(yè)務(wù)關(guān)聯(lián)�。因此,在未建立業(yè)務(wù)關(guān)聯(lián)的情況下���,需要進(jìn)一步嚴(yán)格限制保證業(yè)務(wù)使用的安全性��。
針對短信炸彈問題�����,建議綜合采用:增加圖片驗證碼����、單IP請求次數(shù)限制���、限制發(fā)送時長限制3個措施���,防護(hù)“動態(tài)短信獲取”功能與業(yè)務(wù)接口����。
措施描述以及針對性解決的問題
1�、使用安全圖片驗證碼:防止通過自動化工具進(jìn)行攻擊請求
2、單IP的請求次數(shù)限定:防止攻擊者對服務(wù)器進(jìn)行大量無效請求(在圖片驗證碼未破解的情況下��,自動化工具形成錯誤請求)��,增加服務(wù)器負(fù)擔(dān)
3�、單用戶動態(tài)短信請求間隔時長限制:防止對單個用戶形成手工攻擊;防止圖片驗證碼失效后對用戶形成大量攻擊����。
措施一:使用安全的圖片驗證碼
惡意攻擊者采用自動化工具,調(diào)用“動態(tài)短信獲取”接口進(jìn)行動態(tài)短信發(fā)送�����,究其原因是攻擊者可以自動對接口進(jìn)行大量調(diào)用�。
采用圖片驗證碼可有效防止工具自動化調(diào)用,即當(dāng)用戶進(jìn)行“獲取動態(tài)短信”操作前�,彈出圖片驗證碼����,要求用戶輸入驗證碼后�����,服務(wù)器端再發(fā)送動態(tài)短信到用戶手機上�����,該方法可有效解決被利用實施炸彈攻擊的問題��。
安全的圖片驗證碼必須滿足:
生成過程安全:圖片驗證碼必須在服務(wù)器端進(jìn)行產(chǎn)生與校驗���;
使用過程安全:單次有效,且以用戶的驗證請求為準(zhǔn)��;
驗證碼自身安全:不易被識別工具識別���,能有效防止暴力破解���。
措施二:單IP的請求次數(shù)限定
使用了圖片驗證碼后,能防止攻擊者有效進(jìn)行“動態(tài)短信”功能的自動化調(diào)用��;但若攻擊者忽略圖片驗證碼驗證錯誤的情況,大量執(zhí)行請求會給服務(wù)器帶來額外負(fù)擔(dān)���,影響業(yè)務(wù)使用��。建議在服務(wù)器端限制單個IP在單位時間內(nèi)的請求次數(shù)�����,一旦用戶請求次數(shù)(包括失敗請求次數(shù))超出設(shè)定的閾值�,則暫停對該IP一段時間的請求�;若情節(jié)特別嚴(yán)重,可以將IP加入黑名單�����,禁止該IP的訪問請求��。該措施能限制一個IP地址的大量請求����,避免攻擊者通過同一個IP對大量用戶進(jìn)行攻擊,增加了攻擊難度���,保障了業(yè)務(wù)的正常開展��。
該閾值設(shè)定可依據(jù)業(yè)務(wù)的不同執(zhí)行設(shè)定�����,一般情況下建議不超過200個/分鐘��。
措施三: 單用戶動態(tài)短信請求間隔時長限制
為進(jìn)一步優(yōu)化業(yè)務(wù)正常使用����,建議采用限制重復(fù)發(fā)送動態(tài)短信的間隔時長,即當(dāng)單個用戶請求發(fā)送一次動態(tài)短信之后�,服務(wù)器端鎖定如:30秒后����,才能進(jìn)行第二次動態(tài)短信請求。該功能可進(jìn)一步保障用戶體驗��,并避免包含手工攻擊惡意發(fā)送垃圾驗證短信�����。
嘉之元云通信為客戶提短信驗證碼���、短信營銷�、國際短信、智能外呼機器人等服務(wù)�!其在互聯(lián)網(wǎng)行業(yè)深耕近10年,在驗證碼短信�、營銷短信、國際短信�����、智能語音機器人方面與業(yè)內(nèi)資深企業(yè)強強聯(lián)合���,產(chǎn)品服務(wù)水平一直處于行業(yè)領(lǐng)先水平,深受廣大客戶的認(rèn)可�,嘉之元云通信將一如既往的為您提供一流的服務(wù)�。
上一篇:駕校通知短信內(nèi)容范文
下一篇:智能電話機器人--金融股票行業(yè)話術(shù)案例
流量二維碼
業(yè)務(wù)經(jīng)理1
業(yè)務(wù)經(jīng)理2
