短信驗證碼接口容易遭受攻擊—「短信轟炸」,短信轟炸造成的緣由是由於非受權的動態短信獲取,如用戶註冊時的手機驗證短信,在用戶獲取驗證碼短信前系統並不能創建業務關聯。所以,在未創建業務關聯的狀況下,須要進一步嚴格限制保證業務使用的安全性。咱們能夠綜合採用:增長圖片驗證碼、IP請求次數限制、單用戶請求間隔時長限制3個措施,來保障驗證碼短信接口的安全性。安全
措施一:使用安全的圖片驗證碼
採用圖片驗證碼可有效防止採用自動化工具調用驗證碼短信接口,即當用戶進行「獲取短信驗證碼」操做前,彈出圖片驗證碼,要求用戶輸入驗證碼後,服務器端再發送驗證短信到用戶手機上。安全的圖片驗證碼必須知足:服務器
- 生成過程安全:圖片驗證碼必須在服務器端進行產生與校驗;
- 使用過程安全:單次有效,且以用戶的驗證請求爲準;
- 驗證碼自身安全:不易被識別工具識別,能有效防止暴力破解。
措施二:單IP對驗證碼短信接口的請求次數限定
使用了圖片驗證碼後,能防止攻擊者對驗證碼短信接口的自動化調用;但若攻擊者忽略圖片驗證碼驗證錯誤的狀況,大量執行請求會給服務器帶來額外負擔,影響業務使用。此時能夠在服務器端限制單個IP在單位時間內的請求次數,一旦用戶請求次數(包括失敗請求次數)超出設定的值,則暫停對該IP一段時間的請求;若情節特別嚴重,能夠將IP加入黑名單,禁止該IP的訪問請求。該措施能限制一個IP地址的大量請求,避免攻擊者經過同一個IP對大量用戶進行攻擊,增長了攻擊難度,保障了業務的正常開展。工具
措施三:單用戶請求間隔時長限制
爲進一步優化業務正常使用,能夠採用限制重複發送短信驗證碼的間隔時長,即當單個用戶請求發送一次短信驗證碼以後,服務器端鎖定如:30秒後,才能進行第二次請求。該功能可進一步保障用戶體驗,並避免包含手工攻擊惡意發送大量驗證碼短信。優化
原文閱讀:《短信驗證碼安全防禦方案(二)綜合防禦措施》___漫道短信平臺spa