發(fā)送短信驗(yàn)證碼時(shí),如果系統(tǒng)有檢測(cè)到發(fā)送異常的短信驗(yàn)證碼,會(huì)在近期對(duì)發(fā)送短信驗(yàn)證碼的情況進(jìn)行分析,比如發(fā)送頻率相同的手機(jī)號(hào),發(fā)送頻率和某個(gè)時(shí)間段持續(xù)時(shí)間等。如果出現(xiàn)短信驗(yàn)證碼的界面是被惡意攻擊的,首先要確定被攻擊短信驗(yàn)證碼接口的地址,以及攻擊模式,那么企業(yè)面對(duì)惡意攻擊還如何處理和預(yù)防呢?互億無(wú)線為你介紹。
一、添加圖形驗(yàn)證機(jī)制
設(shè)置一天內(nèi)發(fā)送到同一手機(jī)號(hào)碼的驗(yàn)證碼總量的限制,如果手機(jī)號(hào)碼連續(xù)2-3天具有相同短信驗(yàn)證碼請(qǐng)求行為,則直接添加到黑名單。
由于這種攻擊涉及不同的業(yè)務(wù)場(chǎng)景,所以我們進(jìn)行不同的處理,在注冊(cè)頁(yè)面中添加圖形驗(yàn)證代碼機(jī)制,并對(duì)忘記的密碼頁(yè)面進(jìn)行逐步驗(yàn)證。我們首先驗(yàn)證用戶名密碼,成功之后在發(fā)送短信驗(yàn)證碼。
安全圖形驗(yàn)證碼必須滿足以下防護(hù)要求:
1.生成過(guò)程安全性:圖片驗(yàn)證代碼必須在服務(wù)器端進(jìn)行產(chǎn)生與校驗(yàn);
2.使用過(guò)程安全:單次有效并受用戶驗(yàn)證要求為準(zhǔn);
3.驗(yàn)證碼自我安全:不易被識(shí)別工具識(shí)別,能有效防止暴力破解。
二、單個(gè)IP請(qǐng)求數(shù)量限制
在短信驗(yàn)證碼接入圖片驗(yàn)證碼之后,可以有效防止攻擊者進(jìn)行動(dòng)態(tài)短信功能自動(dòng)化的調(diào)用。但是,如果攻擊者忽略了圖片驗(yàn)證碼錯(cuò)誤的情況,大量的執(zhí)行請(qǐng)求會(huì)給服務(wù)器帶來(lái)額外的負(fù)擔(dān),影響業(yè)務(wù)的使用。建議限制服務(wù)器端單個(gè)IP在單位時(shí)間內(nèi)的請(qǐng)求數(shù)量,當(dāng)請(qǐng)求數(shù)量(包括失敗的請(qǐng)求)超過(guò)設(shè)置的閾值時(shí),暫停對(duì)該IP一段時(shí)間的請(qǐng)求。如果情況特別嚴(yán)重,可以將IP列入黑名單,并禁止對(duì)該IP的訪問(wèn)請(qǐng)求。該措施可以限制對(duì)IP地址的大量請(qǐng)求,避免攻擊者通過(guò)同一IP攻擊大量用戶,增加攻擊難度,保證業(yè)務(wù)的正常進(jìn)行。
手機(jī)號(hào)碼限制:根據(jù)業(yè)務(wù)特點(diǎn),限制每個(gè)手機(jī)號(hào)碼每天的最大使用量。
限制發(fā)送時(shí)間間隔:這種限制已經(jīng)非常普遍,也就是說(shuō),當(dāng)單個(gè)用戶請(qǐng)求發(fā)送動(dòng)態(tài)短信時(shí),服務(wù)器端限制只能在一定時(shí)間(這里通常是60秒)之后發(fā)出第二個(gè)動(dòng)態(tài)短信請(qǐng)求。該功能可以進(jìn)一步保障用戶體驗(yàn),避免人工攻擊惡意發(fā)送垃圾驗(yàn)證短信。
流程限制:如果類似于忘記密碼的功能頁(yè)面,我們可以將短信驗(yàn)證碼和用戶密碼設(shè)置分為兩個(gè)步驟。設(shè)置用戶密碼后,并需要獲取上一步的成功回執(zhí)后才進(jìn)行手機(jī)驗(yàn)證碼的發(fā)送。
自助開(kāi)通營(yíng)銷短信服務(wù)
免費(fèi)試用,試用滿意再購(gòu)買
免費(fèi)開(kāi)通 產(chǎn)品詳情查看短信產(chǎn)品報(bào)價(jià)
新用戶促銷套餐,首購(gòu)優(yōu)惠,直接下單購(gòu)買
驗(yàn)證碼已發(fā)送到您的手機(jī),請(qǐng)查收!
輸入驗(yàn)證碼后,點(diǎn)擊“開(kāi)通體驗(yàn)賬戶”按鈕可立即開(kāi)通體驗(yàn)賬戶。