用戶體驗中心
售前咨詢:400-006-0086 客服QQ:400-006- 0086 投訴電話:152-5606-8386
創瑞通訊平臺(網頁版):客戶登錄 | 免費試用 | 常見問題 | 客服中心
您當前位置:創瑞 >> 行業新聞 >> 瀏覽文章行業新聞
短信驗證碼接口被惡意攻擊怎么辦?
短信接口驗證碼通常用于電商手機APP、網上銀行、社交論壇等互聯網行業,通過短信驗證碼進行身份二次驗證,確保用戶身份真實有效。但是,最近有很多用戶莫名收到各類注冊短信、驗證短信等,技術人員排查,發現是短信驗證碼接口被惡意攻擊了,導致驗證碼接口被刷。那么該如何避免被刷呢?
 
一、短信驗證碼接口是怎么被惡意攻擊的(短信接口被刷)
短信驗證碼接口被惡意攻擊一般主要用于短信轟炸
短信轟炸的具體工作原理如下:
 1、惡意攻擊者在前端頁面中輸入被攻擊者的手機號;
       2、短信轟炸工具的后臺服務器,將該手機號與互聯網收集的可不需要經過認證即可發送動態短信的URL進行組合,形成可發送動態短信的URL請求;
       3、通過后臺請求頁面,偽造用戶的請求發給不同的業務服務器;
       4、業務服務器收到該請求后,發送動態短信到被攻擊用戶的手機上。

 
 
圖為 短信轟炸流程示例

通常短信轟炸是基于WEB方式(基于客戶端方式的原理與之類似),由兩個模塊組成,包括:一個前端Web網頁,提供輸入被攻擊者手機號碼的表單;一個后臺攻擊頁面(如PHP),利用從各個網站上找到的動態短信URL和前端輸入的被攻擊者手機號碼,發送HTTP請求,每次請求給用戶發送一個動態短信。
被攻擊者大量接收非自身請求的短信,造成無法正常使用移動運營商業務。
       短信接口被刷通常指的就網站的動態短信發送接口被此類短信轟炸工具收集,作為其中一個發送途徑。


二、易遭惡意攻擊的場景或網站
 1、網絡在線投票站(需要填寫手機號碼進行校驗)
  2、用戶在線注冊頁面(包含手機短信驗證功能)
  3、手機短信動態密碼登錄
 
三、惡意點擊手機短信驗證碼的途徑
用戶惡意點擊手機短信驗證碼主要有兩種途徑,一種是人工頻繁點擊;一種是通過軟件連續點擊,就危害性來說,軟件連續點擊的危害要大的多。
 
四、防止短信驗證碼接口被惡意攻擊的手段
用戶惡意點擊手機短信驗證碼,不僅會增加公司的運營成本,也會給公司的形象造成極壞的影響(一般短信都會帶公司的簽名),所以必須要對這種行為進行防范,目前,防范的手段主要有以下幾個方面:
1、【短信發送間隔設置】
設置同一號碼重復發送的時間間隔,一般設置為60-120秒。該功能可進一步保障用戶體驗,并避免包含手工攻擊惡 意發送垃圾驗證短信。
2、【IP限定】
根據自己的業務特點,設置每個IP每天的最大發送量
3、【手機號碼限定】
根據業務特點,設置每個手機號碼每天的最大發送量
4、【流程限定】
將手機短信驗證和用戶名密碼設置分成兩個步驟,用戶在設置成功用戶名密碼后,下一步才進行手機短信驗證。并且需要在獲取第一步成功的回執之后才可進行校驗。
       5、【綁定圖型校驗碼】
將圖形校驗碼和手機驗證碼進行綁定,當用戶輸入手機號碼以后,需要輸入圖形校驗碼才可以觸發短信,這樣能比較有效的防止軟件惡意點擊。現在大型網站都采用此方式。如注冊網易郵箱:
 
 
 
 6、【發送量限定】——設置每個手機號碼每天的最大發送量。
 
 

圖為 完整的動態短信驗證碼使用流程

返回首頁
上一篇:維護老客戶的新方法—短信平臺
下一篇:短信平臺之融資融券推廣方案

更多詳情請搜索:
推薦產品
熱門產品
 
 
  • 創瑞新浪微博
  • 創瑞-搜狐公眾平臺
  • 創瑞企業QQ
創瑞微信二維碼
掃描二維碼
關注創瑞更多精彩
 
 
 
增值電信業務經營許可證 | 計算機軟件著作權證書 | 軟件測評中心-登記測試證書 | 短消息服務接入代碼使用證書
開戶許可證 | 營業執照 | 會員證書 | 網站地圖
短信平臺 | 短信接口 | 語音驗證碼 | 國際短信 | 短信公眾號
地址:中國·合肥高新區長江西路與科學大道交叉口5F創業園A座502#
Copyright 2005-2017 安徽創瑞信息技術有限公司 增值電信業務經營許可證:B2-20120248
網站備案:皖ICP備12004788號-11 創瑞公安備案皖公網安備 34019202000075號
黑龙江11选5最新技巧