短信接口攻擊防范方案介紹

如今越來(lái)越多的產(chǎn)品使用短信驗(yàn)證功能，如產(chǎn)品注冊(cè)、登陸、支付、密碼找回等，可見(jiàn)短信接口服務(wù)已成為重要的基礎(chǔ)設(shè)施之一，也正由于它的重要性，很多的惡意攻擊事件不斷圍繞短信接口進(jìn)行，不少團(tuán)隊(duì)也因此受過(guò)吃過(guò)苦頭。那么常見(jiàn)的短信接口攻擊防范方案又有哪些呢？下面互億無(wú)線小編來(lái)為大家簡(jiǎn)單介紹。

一、身份驗(yàn)證

1. 圖形校驗(yàn)碼和手機(jī)驗(yàn)證碼進(jìn)行綁定，當(dāng)用戶輸入手機(jī)號(hào)碼以后，還可以要求用戶輸入圖形校驗(yàn)碼，或者根據(jù)圖形進(jìn)行某種邏輯運(yùn)算（比如36+ 伍= ？）才可以觸發(fā)短信這樣有利于防止一些惡意軟件的點(diǎn)擊。

2. 觸點(diǎn)驗(yàn)證：如在12306火車(chē)售票，指定要求用戶選擇某些圖標(biāo)或文字，雖然這樣做法用戶體驗(yàn)度會(huì)有所下降，但安全方面卻能得到很高的提升。

3. 滑動(dòng)驗(yàn)證：普通的圖形驗(yàn)證碼容易被各種暴力機(jī)械破解，而滑動(dòng)驗(yàn)證只能監(jiān)聽(tīng)鼠標(biāo)動(dòng)作但不能通過(guò)數(shù)據(jù)驗(yàn)證，這樣的做法可以有效的防止機(jī)械破解。

以上三種做法，都有現(xiàn)成的開(kāi)源類(lèi)庫(kù)作為參考，可以在上面根據(jù)自身的情況做二次開(kāi)發(fā)。

二、觸發(fā)限制

通過(guò)對(duì)短信的觸發(fā)進(jìn)行管控，以來(lái)限定非正常的用戶行為，常見(jiàn)的有以下三類(lèi)做法：

1.設(shè)置每個(gè)IP每天的最大發(fā)送量；

2.設(shè)置同一號(hào)碼重復(fù)發(fā)送的時(shí)間間隔，一般設(shè)置的間隔為60-120秒；

3.設(shè)置每個(gè)手機(jī)號(hào)碼每天的最大發(fā)送量；

除此之外，請(qǐng)?jiān)隍?yàn)證碼內(nèi)容加上退訂操作，如：回復(fù)T拒收；退訂回復(fù)T等相關(guān)內(nèi)容。當(dāng)非用戶觸發(fā)接收的短信，用戶回復(fù)T以后，平臺(tái)會(huì)將其列入拒發(fā)數(shù)據(jù)庫(kù)，停止對(duì)該號(hào)碼的短信發(fā)送。

三、業(yè)務(wù)流程限定

通過(guò)設(shè)定特定的業(yè)務(wù)流程來(lái)阻止攻擊腳本，比如以下兩個(gè)方案：

1.流程劃分，只有用戶注冊(cè)成功賬戶密碼平臺(tái)拿到用戶身份信息后，才能觸發(fā)短信驗(yàn)證碼的發(fā)送。

2.信息完善，如果用戶在填寫(xiě)注冊(cè)信息不完善的情況下無(wú)法發(fā)送短信驗(yàn)證碼。

關(guān)于短信接口攻擊防范方案小編就先介紹到這里，如果遇到別的什么問(wèn)題也可以聯(lián)系小編。