短信驗證碼接口被惡意攻擊怎麼辦？

短信接口驗證碼一般 用於 電商 、 手機 APP 、網上 銀行、社交論壇等 互聯網行業， 經過短信驗證碼進行 身份二次 驗證 ，確保用戶 身份真實有效。 可是 ，最近有不少用戶莫名收到各種註冊短信、驗證 短信 等，技術人員排查，發現是短信 驗證碼 接口 被惡意 攻擊了，致使驗證碼 接口 被刷。那麼 該如何 避免被刷呢？

1、短信驗證碼接口是怎麼被惡意攻擊的（短信接口被刷）

短信驗證碼接口被惡意攻擊通常主要用於 短信轟炸 。

而 短信轟炸的 具體工做原理以下：

 一、惡意攻擊者在前端頁面中輸入被攻擊者的手機號；
 二、短信轟炸工具的後臺服務器，將該手機號與互聯網收集的可不須要通過認證便可發送動態短信的URL進行組合，造成可發送動態短信的URL請求；
 三、經過後臺請求頁面，僞造用戶的請求發給不一樣的業務服務器；

 四、業務服務器收到該請求後，發送動態短信到被攻擊用戶的手機上。

圖爲 短信轟炸流程示例

一般短信轟炸是基於WEB方式(基於客戶端方式的原理與之相似)，由兩個模塊組成，包括:一個前端Web網頁，提供輸入被攻擊者手機號碼的表單；一個後臺攻擊頁面(如PHP)，利用從各個網站上找到的動態短信URL和前端輸入的被攻擊者手機號碼，發送HTTP請求，每次請求給用戶發送一個動態短信。

被攻擊者大量接收非自身請求的短信，形成沒法正常使用移動運營商業務。
       短信接口被刷一般指的就網站的動態短信發送接口被此類短信轟炸工具收集，做爲其中一個發送途徑。

2、易遭惡意攻擊的場景或網站

 一、網絡在線投票站（須要填寫手機號碼進行校驗）

  二、用戶在線註冊頁面（包含手機短信驗證功能）

  三、手機短信動態密碼登陸

 

3、惡意點擊手機短信驗證碼的途徑

用戶惡意點擊手機短信驗證碼主要有兩種途徑，一種是人工頻繁點擊；一種是經過軟件連續點擊，就危害性來講，軟件連續點擊的危害要大的多。

 

4、防止短信驗證碼接口被惡意攻擊的手段

用戶惡意點擊手機短信驗證碼，不只會增長公司的運營成本，也會給公司的形象形成極壞的影響（通常短信都會帶公司的簽名），因此必需要對這種行爲進行防範，目前，防範的手段主要有如下幾個方面：

一、【短信發送間隔設置】

設置同一號碼重複發送的時間間隔，通常設置爲60-120秒。該功能可進一步保障用戶體驗，並避免包含手工攻擊惡 意發送垃圾驗證短信。

二、【IP限定】

根據本身的業務特色，設置每一個IP天天的最大發送量

三、【手機號碼限定】

根據業務特色，設置每一個手機號碼天天的最大發送量

四、【流程限定】

將手機短信驗證和用戶名密碼設置分紅兩個步驟，用戶在設置成功用戶名密碼後，下一步才進行手機短信驗證。而且須要在獲取第一步成功的回執以後纔可進行校驗。
五、【綁定圖型校驗碼】

將圖形校驗碼和手機驗證碼進行綁定，當用戶輸入手機號碼之後，須要輸入圖形校驗碼才能夠觸發短信，這樣能比較有效的防止軟件惡意點擊。如今大型網站都採用此方式。如註冊 網易郵箱：

六、【發送量限定】——設置每一個手機號碼天天的最大發送量。

圖爲 完整的動態短信驗證碼使用流程

轉載地址：http://www.cr6868.com/html/xyxw/2709.html