互亿无线·让通信更简单

企业面对短信接口恶意攻击时,应该如何处理和预防?

2019-03-05 13:13:48

      发送短信验证码时,如果系统有检测到发送异常的短信验证码,会在近期对发送短信验证码的情况进行分析,比如发送频率相同的手机号,发送频率和某个时间段持续时间等。如果出现短信验证码的界面是被恶意攻击的,首先要确定被攻击短信验证码接口的地址,以及攻击模式,那么企业面对恶意攻击还如何处理和预防呢?互亿无线为你介绍。

短信验证码


      一、添加图形验证机制
      设置一天内发送到同一手机号码的验证码总量的限制,如果手机号码连续2-3天具有相同短信验证码请求行为,则直接添加到黑名单。
      由于这种攻击涉及不同的业务场景,所以我们进行不同的处理,在注册页面中添加图形验证代码机制,并对忘记的密码页面进行逐步验证。我们首先验证用户名密码,成功之后在发送短信验证码。
      安全图形验证码必须满足以下防护要求:
      1.生成过程安全性:图片验证代码必须在服务器端进行产生与校验;
      2.使用过程安全:单次有效并受用户验证要求为准;
      3.验证码自我安全:不易被识别工具识别,能有效防止暴力破解。
      二、单个IP请求数量限制
      在短信验证码接入图片验证码之后,可以有效防止攻击者进行动态短信功能自动化的调用。但是,如果攻击者忽略了图片验证码错误的情况,大量的执行请求会给服务器带来额外的负担,影响业务的使用。建议限制服务器端单个IP在单位时间内的请求数量,当请求数量(包括失败的请求)超过设置的阈值时,暂停对该IP一段时间的请求。如果情况特别严重,可以将IP列入黑名单,并禁止对该IP的访问请求。该措施可以限制对IP地址的大量请求,避免攻击者通过同一IP攻击大量用户,增加攻击难度,保证业务的正常进行。
      手机号码限制:根据业务特点,限制每个手机号码每天的最大使用量。
      限制发送时间间隔:这种限制已经非常普遍,也就是说,当单个用户请求发送动态短信时,服务器端限制只能在一定时间(这里通常是60秒)之后发出第二个动态短信请求。该功能可以进一步保障用户体验,避免人工攻击恶意发送垃圾验证短信。
流程限制:如果类似于忘记密码的功能页面,我们可以将短信验证码和用户密码设置分为两个步骤。设置用户密码后,并需要获取上一步的成功回执后才进行手机验证码的发送。
 


其他时段:
159 0211 7035