解決網站漏洞怎麼修復對短信驗證碼被盜刷該怎麼辦

公司的商城網站剛上線運營不到一個星期，網站就被攻擊了，致使公司網站的短信通道被人惡意刷了幾萬條短信，損失較大，同時服務器也遭受到了史無前例的攻擊。CPU監控看到網站在被盜刷短信驗證碼的時候，CPU一直保持在%95，網站甚至有些時候都沒法打開。

網站被攻擊後我登陸了阿里雲進去看了下，受到了不少阿里雲提示的安全提醒，阿里雲居然沒有給我攔截，我打電話諮詢阿里雲，阿里雲居然說我沒有購買他們的雲防火牆，阿里雲客服還一再的推銷讓咱們公司購買他們的雲防火牆來防止短信驗證碼攻擊，自己我也是作技術出身的，仍是懂一些代碼以及安全方面的，公司領導當即開會研究這個問題該如何解決，任命我帶頭負責處理這次的安全問題。

首先關於網站短信驗證碼被盜刷，從多個層面去分析漏洞產生的緣由，基礎帶寬線路層，服務器層，網站層，三個方面去分析解決問題。

基礎帶寬應用層是：像DDOS，CC,帶寬流量的攻擊屬於基礎帶寬，若是網站遭受到攻擊，網站打不開，打開沒法顯示通常都是基礎帶寬應用層受到了攻擊，防護辦法也是經過高防服務器的硬防來防止攻擊，可是也會形成誤封，多層流量清洗防止攻擊。

服務器層面，服務器被攻擊的話，通常也會形成短信驗證碼盜刷，攻擊者入侵服務器，並在服務器裏直接與短信驗證碼平臺通訊發送數據，多頻率的發送，修改數據庫，都會形成短信驗證碼的盜刷。

網站層，通過多年的技術開發與安全接觸，短信驗證碼被盜刷，都是網站存在漏洞致使的，尤爲寫的代碼並無對請求的次數，以及請求的函數，請求IP，進行安全過濾，此次公司商城網站被盜刷短信很大一部分緣由是代碼上的漏洞，代碼開發有問題，先從代碼入手查看問題，檢查了全部關於獲取短信驗證碼調用的代碼，在一個會員找回密碼功能這裏，咱們發現了問題，代碼里居然沒有對請求的次數，頻率，IP，進行限制，致使攻擊者利用該頁面功能，POST僞造函數屢次請求找回密碼頁面，致使短信被刷，瞬時間服務器都會遭受壓力，CPU達到百分之95.針對這個漏洞，咱們對代碼漏洞進行了修復，限制請求次數，頻率，手機號碼惟一性判斷，IP判斷驗證等等的安全策略來阻止短信驗證碼被盜刷。

至此短信被盜刷的問題得以解決，網站代碼的開發環節真的很重要，在網站上線以前必定要對網站的安全進行測試，許多程序員在開發代碼的時候只顧功能並不會考慮到安全問題，甚至有些程序員的安全意識很薄弱，致使代碼出現sql注入漏洞，XSS跨站漏洞，數據庫漏洞，等等問題，若是不懂如何修復網站漏洞，也能夠找專業的網站安全公司來處理，國內也就Sinesafe和綠盟、啓明星辰等安全公司比較專業.