互亿无线·让通信更简单

短信接口攻击防范方案介绍

2018-08-08 13:35:45

  如今越来越多的产品使用短信验证功能,如产品注册、登陆、支付、密码找回等,可见短信接口服务已成为重要的基础设施之一,也正由于它的重要性,很多的恶意攻击事件不断围绕短信接口进行,不少团队也因此受过吃过苦头。那么常见的短信接口攻击防范方案又有哪些呢?下面互亿无线小编来为大家简单介绍。
一、身份验证:
1. 图形校验码和手机验证码进行绑定,当用户输入手机号码以后,还可以要求用户输入图形校验码,或者根据图形进行某种逻辑运算(比如36+ 伍= ?)才可以触发短信这样有利于防止一些恶意软件的点击。
2. 触点验证:如在12306火车售票,指定要求用户选择某些图标或文字,虽然这样做法用户体验度会有所下降,但安全方面却能得到很高的提升。
3. 滑动验证:普通的图形验证码容易被各种暴力机械破解,而滑动验证只能监听鼠标动作但不能通过数据验证,这样的做法可以有效的防止机械破解。
以上三种做法,都有现成的开源类库作为参考,可以在上面根据自身的情况做二次开发。
二、触发限制:
通过对短信的触发进行管控,以来限定非正常的用户行为,常见的有以下三类做法:
1.设置每个IP每天的最大发送量;
2.设置同一号码重复发送的时间间隔,一般设置的间隔为60-120秒;
3.设置每个手机号码每天的最大发送量;
除此之外,请在验证码内容加上退订操作,如:回复T拒收;退订回复T等相关内容。当非用户触发接收的短信,用户回复T以后,平台会将其列入拒发数据库,停止对该号码的短信发送。
三、业务流程限定:
通过设定特定的业务流程来阻止攻击脚本,比如以下两个方案:
1.流程划分,只有用户注册成功账户密码平台拿到用户身份信息后,才能触发短信验证码的发送。
2.信息完善,如果用户在填写注册信息不完善的情况下无法发送短信验证码。
关于短信接口攻击防范方案小编就先介绍到这里,如果遇到别的什么问题也可以联系小编。


服务热线:
4008 808 898