短信接口攻击防范方案介绍

如今越来越多的产品使用短信验证功能，如产品注册、登陆、支付、密码找回等，可见短信接口服务已成为重要的基础设施之一，也正由于它的重要性，很多的恶意攻击事件不断围绕短信接口进行，不少团队也因此受过吃过苦头。那么常见的短信接口攻击防范方案又有哪些呢？下面互亿无线小编来为大家简单介绍。

一、身份验证

1. 图形校验码和手机验证码进行绑定，当用户输入手机号码以后，还可以要求用户输入图形校验码，或者根据图形进行某种逻辑运算（比如36+ 伍= ？）才可以触发短信这样有利于防止一些恶意软件的点击。

2. 触点验证：如在12306火车售票，指定要求用户选择某些图标或文字，虽然这样做法用户体验度会有所下降，但安全方面却能得到很高的提升。

3. 滑动验证：普通的图形验证码容易被各种暴力机械破解，而滑动验证只能监听鼠标动作但不能通过数据验证，这样的做法可以有效的防止机械破解。

以上三种做法，都有现成的开源类库作为参考，可以在上面根据自身的情况做二次开发。

二、触发限制

通过对短信的触发进行管控，以来限定非正常的用户行为，常见的有以下三类做法：

1.设置每个IP每天的最大发送量；

2.设置同一号码重复发送的时间间隔，一般设置的间隔为60-120秒；

3.设置每个手机号码每天的最大发送量；

除此之外，请在验证码内容加上退订操作，如：回复T拒收；退订回复T等相关内容。当非用户触发接收的短信，用户回复T以后，平台会将其列入拒发数据库，停止对该号码的短信发送。

三、业务流程限定

通过设定特定的业务流程来阻止攻击脚本，比如以下两个方案：

1.流程划分，只有用户注册成功账户密码平台拿到用户身份信息后，才能触发短信验证码的发送。

2.信息完善，如果用户在填写注册信息不完善的情况下无法发送短信验证码。

关于短信接口攻击防范方案小编就先介绍到这里，如果遇到别的什么问题也可以联系小编。