短信接口攻擊防范方案介紹

如今越來越多的產品使用短信驗證功能，如產品注冊、登陸、支付、密碼找回等，可見短信接口服務已成為重要的基礎設施之一，也正由于它的重要性，很多的惡意攻擊事件不斷圍繞短信接口進行，不少團隊也因此受過吃過苦頭。那么常見的短信接口攻擊防范方案又有哪些呢？下面互億無線小編來為大家簡單介紹。

一、身份驗證

1. 圖形校驗碼和手機驗證碼進行綁定，當用戶輸入手機號碼以后，還可以要求用戶輸入圖形校驗碼，或者根據圖形進行某種邏輯運算（比如36+ 伍= ？）才可以觸發(fā)短信這樣有利于防止一些惡意軟件的點擊。

2. 觸點驗證：如在12306火車售票，指定要求用戶選擇某些圖標或文字，雖然這樣做法用戶體驗度會有所下降，但安全方面卻能得到很高的提升。

3. 滑動驗證：普通的圖形驗證碼容易被各種暴力機械破解，而滑動驗證只能監(jiān)聽鼠標動作但不能通過數據驗證，這樣的做法可以有效的防止機械破解。

以上三種做法，都有現(xiàn)成的開源類庫作為參考，可以在上面根據自身的情況做二次開發(fā)。

二、觸發(fā)限制

通過對短信的觸發(fā)進行管控，以來限定非正常的用戶行為，常見的有以下三類做法：

1.設置每個IP每天的最大發(fā)送量；

2.設置同一號碼重復發(fā)送的時間間隔，一般設置的間隔為60-120秒；

3.設置每個手機號碼每天的最大發(fā)送量；

除此之外，請在驗證碼內容加上退訂操作，如：回復T拒收；退訂回復T等相關內容。當非用戶觸發(fā)接收的短信，用戶回復T以后，平臺會將其列入拒發(fā)數據庫，停止對該號碼的短信發(fā)送。

三、業(yè)務流程限定

通過設定特定的業(yè)務流程來阻止攻擊腳本，比如以下兩個方案：

1.流程劃分，只有用戶注冊成功賬戶密碼平臺拿到用戶身份信息后，才能觸發(fā)短信驗證碼的發(fā)送。

2.信息完善，如果用戶在填寫注冊信息不完善的情況下無法發(fā)送短信驗證碼。

關于短信接口攻擊防范方案小編就先介紹到這里，如果遇到別的什么問題也可以聯(lián)系小編。