短信接口攻擊防范方案介紹

如今越來越多的產(chǎn)品使用短信驗證功能，如產(chǎn)品注冊、登陸、支付、密碼找回等，可見短信接口服務(wù)已成為重要的基礎(chǔ)設(shè)施之一，也正由于它的重要性，很多的惡意攻擊事件不斷圍繞短信接口進行，不少團隊也因此受過吃過苦頭。那么常見的短信接口攻擊防范方案又有哪些呢？下面互億無線小編來為大家簡單介紹。

一、身份驗證

1. 圖形校驗碼和手機驗證碼進行綁定，當(dāng)用戶輸入手機號碼以后，還可以要求用戶輸入圖形校驗碼，或者根據(jù)圖形進行某種邏輯運算（比如36+ 伍= ？）才可以觸發(fā)短信這樣有利于防止一些惡意軟件的點擊。

2. 觸點驗證：如在12306火車售票，指定要求用戶選擇某些圖標(biāo)或文字，雖然這樣做法用戶體驗度會有所下降，但安全方面卻能得到很高的提升。

3. 滑動驗證：普通的圖形驗證碼容易被各種暴力機械破解，而滑動驗證只能監(jiān)聽鼠標(biāo)動作但不能通過數(shù)據(jù)驗證，這樣的做法可以有效的防止機械破解。

以上三種做法，都有現(xiàn)成的開源類庫作為參考，可以在上面根據(jù)自身的情況做二次開發(fā)。

二、觸發(fā)限制

通過對短信的觸發(fā)進行管控，以來限定非正常的用戶行為，常見的有以下三類做法：

1.設(shè)置每個IP每天的最大發(fā)送量；

2.設(shè)置同一號碼重復(fù)發(fā)送的時間間隔，一般設(shè)置的間隔為60-120秒；

3.設(shè)置每個手機號碼每天的最大發(fā)送量；

除此之外，請在驗證碼內(nèi)容加上退訂操作，如：回復(fù)T拒收；退訂回復(fù)T等相關(guān)內(nèi)容。當(dāng)非用戶觸發(fā)接收的短信，用戶回復(fù)T以后，平臺會將其列入拒發(fā)數(shù)據(jù)庫，停止對該號碼的短信發(fā)送。

三、業(yè)務(wù)流程限定

通過設(shè)定特定的業(yè)務(wù)流程來阻止攻擊腳本，比如以下兩個方案：

1.流程劃分，只有用戶注冊成功賬戶密碼平臺拿到用戶身份信息后，才能觸發(fā)短信驗證碼的發(fā)送。

2.信息完善，如果用戶在填寫注冊信息不完善的情況下無法發(fā)送短信驗證碼。

關(guān)于短信接口攻擊防范方案小編就先介紹到這里，如果遇到別的什么問題也可以聯(lián)系小編。