企業(yè)應(yīng)用中動(dòng)態(tài)短信驗(yàn)證碼安全防護(hù)方案
2018-04-27 00:00:00
來(lái)源:
點(diǎn)擊:13200
喜歡:0
短信炸彈形成的原因是因?yàn)榉鞘跈?quán)的動(dòng)態(tài)短信獲取����,而由于業(yè)務(wù)的需要(如注冊(cè)����、好友邀請(qǐng)等),在使用動(dòng)態(tài)短信業(yè)務(wù)前系統(tǒng)并不能建立業(yè)務(wù)關(guān)聯(lián)��。因此�,在未建立業(yè)務(wù)關(guān)聯(lián)的情況下,需要進(jìn)一步嚴(yán)格限制保證業(yè)務(wù)使用的安全性���。
針對(duì)短信炸彈問(wèn)題���,建議綜合采用:增加圖片驗(yàn)證碼、單IP請(qǐng)求次數(shù)限制���、限制發(fā)送時(shí)長(zhǎng)限制3個(gè)措施�����,防護(hù)“動(dòng)態(tài)短信獲取”功能與業(yè)務(wù)接口���。
措施描述以及針對(duì)性解決的問(wèn)題
1、使用安全圖片驗(yàn)證碼:防止通過(guò)自動(dòng)化工具進(jìn)行攻擊請(qǐng)求
2��、單IP的請(qǐng)求次數(shù)限定:防止攻擊者對(duì)服務(wù)器進(jìn)行大量無(wú)效請(qǐng)求(在圖片驗(yàn)證碼未破解的情況下��,自動(dòng)化工具形成錯(cuò)誤請(qǐng)求)���,增加服務(wù)器負(fù)擔(dān)
3��、單用戶(hù)動(dòng)態(tài)短信請(qǐng)求間隔時(shí)長(zhǎng)限制:防止對(duì)單個(gè)用戶(hù)形成手工攻擊�;防止圖片驗(yàn)證碼失效后對(duì)用戶(hù)形成大量攻擊����。
措施一:使用安全的圖片驗(yàn)證碼
惡意攻擊者采用自動(dòng)化工具,調(diào)用“動(dòng)態(tài)短信獲取”接口進(jìn)行動(dòng)態(tài)短信發(fā)送��,究其原因是攻擊者可以自動(dòng)對(duì)接口進(jìn)行大量調(diào)用���。
采用圖片驗(yàn)證碼可有效防止工具自動(dòng)化調(diào)用�,即當(dāng)用戶(hù)進(jìn)行“獲取動(dòng)態(tài)短信”操作前����,彈出圖片驗(yàn)證碼����,要求用戶(hù)輸入驗(yàn)證碼后��,服務(wù)器端再發(fā)送動(dòng)態(tài)短信到用戶(hù)手機(jī)上�����,該方法可有效解決被利用實(shí)施炸彈攻擊的問(wèn)題�。
安全的圖片驗(yàn)證碼必須滿(mǎn)足:
生成過(guò)程安全:圖片驗(yàn)證碼必須在服務(wù)器端進(jìn)行產(chǎn)生與校驗(yàn);
使用過(guò)程安全:?jiǎn)未斡行?��,且以用?hù)的驗(yàn)證請(qǐng)求為準(zhǔn)�;
驗(yàn)證碼自身安全:不易被識(shí)別工具識(shí)別��,能有效防止暴力破解����。
措施二:?jiǎn)?/span>IP的請(qǐng)求次數(shù)限定
使用了圖片驗(yàn)證碼后,能防止攻擊者有效進(jìn)行“動(dòng)態(tài)短信”功能的自動(dòng)化調(diào)用���;但若攻擊者忽略圖片驗(yàn)證碼驗(yàn)證錯(cuò)誤的情況�,大量執(zhí)行請(qǐng)求會(huì)給服務(wù)器帶來(lái)額外負(fù)擔(dān),影響業(yè)務(wù)使用�。建議在服務(wù)器端限制單個(gè)IP在單位時(shí)間內(nèi)的請(qǐng)求次數(shù),一旦用戶(hù)請(qǐng)求次數(shù)(包括失敗請(qǐng)求次數(shù))超出設(shè)定的閾值�,則暫停對(duì)該IP一段時(shí)間的請(qǐng)求;若情節(jié)特別嚴(yán)重��,可以將IP加入黑名單����,禁止該IP的訪(fǎng)問(wèn)請(qǐng)求��。該措施能限制一個(gè)IP地址的大量請(qǐng)求��,避免攻擊者通過(guò)同一個(gè)IP對(duì)大量用戶(hù)進(jìn)行攻擊����,增加了攻擊難度,保障了業(yè)務(wù)的正常開(kāi)展�。
該閾值設(shè)定可依據(jù)業(yè)務(wù)的不同執(zhí)行設(shè)定,一般情況下建議不超過(guò)200個(gè)/分鐘����。
措施三: 單用戶(hù)動(dòng)態(tài)短信請(qǐng)求間隔時(shí)長(zhǎng)限制
為進(jìn)一步優(yōu)化業(yè)務(wù)正常使用,建議采用限制重復(fù)發(fā)送動(dòng)態(tài)短信的間隔時(shí)長(zhǎng)�����,即當(dāng)單個(gè)用戶(hù)請(qǐng)求發(fā)送一次動(dòng)態(tài)短信之后,服務(wù)器端鎖定如:30秒后�,才能進(jìn)行第二次動(dòng)態(tài)短信請(qǐng)求。該功能可進(jìn)一步保障用戶(hù)體驗(yàn)����,并避免包含手工攻擊惡意發(fā)送垃圾驗(yàn)證短信。
嘉之元云通信為客戶(hù)提短信驗(yàn)證碼��、短信營(yíng)銷(xiāo)�����、國(guó)際短信���、智能外呼機(jī)器人等服務(wù)���!其在互聯(lián)網(wǎng)行業(yè)深耕近10年,在驗(yàn)證碼短信����、營(yíng)銷(xiāo)短信、國(guó)際短信�����、智能語(yǔ)音機(jī)器人方面與業(yè)內(nèi)資深企業(yè)強(qiáng)強(qiáng)聯(lián)合,產(chǎn)品服務(wù)水平一直處于行業(yè)領(lǐng)先水平,深受廣大客戶(hù)的認(rèn)可����,嘉之元云通信將一如既往的為您提供一流的服務(wù)。
上一篇:駕校通知短信內(nèi)容范文
下一篇:智能電話(huà)機(jī)器人--金融股票行業(yè)話(huà)術(shù)案例
流量二維碼
業(yè)務(wù)經(jīng)理1
業(yè)務(wù)經(jīng)理2
