发布日期:2017-04-10
一、短信接口为什么要做动态短信验证码安全防护?
手机用户连续收到莫名验证码短信,严重影响手机用户正常使用,同时引发大量的手机用户投诉到10086,行业短信端口的验证码业务投诉量居高不下,分析问题主要是被黑客恶意攻击,其中典型的就有短信炸弹,攻击方法主要是利用不需要注册即可向任意手机号码发送短信动态验证码的正常业务需求(比如网站用户注册、好友邀请、密码取回等),可以向多个手机用户同时连续发送大量的验证码短信,严重影响手机用户的使用与生活,造成不良影响和大量的通道投诉。
二、怎么避免被恶意刷注册短信验证码?
虽然业务设定用户首次输入错误后,提供“手机号码和动态验证码”的登录方式来避免,但实际攻击工具循环调用不同的动态短信验证发送URL进行攻击,可避开该限制进行攻击,那么,我们针对短信端口类动态短信验证码有什么办法可以避免呢?以下几点方案是帮助具体运态短信验证码功能的业务网站以系统等给出的几点建议:
1、在网站及系统获取验证码页面增加安全图片验证码,防止通过自动化程序工具进行攻击。即当用户获取动态短信验证码前,必须输入图片验证码,要求用户输入图片验证码后,服务端再发送动态短信到手机用户上,可以有效解决被短信炸弹攻击的问题。
2、设定系统的单个IP地址请求次数的限制,防止攻击方对服务器循环反复的请求,增加服务器压力。图片验证码可以防止黑客自动调用,但是攻击方不断的向服务器提交请求,会超成服务器繁忙,影响系统运行。设置了单个IP请求时间限制后,请求次数超出一定的值,可以暂停对此IP的请求,情况严重的,可以将IP加入黑名单,限制访问。此办法能限制某IP地址的大量异常请求,避免黑客通过一个IP大量进行攻击,将系统影响降到最低。
3、用户动态验证码短信请求时间的间隔限制,建议间隔0.1秒提交一次, 群发短信一次最多提交1000个手机号码。
4、对同一个手机号码指这时间内限制发送频率,比如第一条发送后,2秒后才能发第2条,第3条10分钟后才能发,隔2秒后才能发第4条,以此类推,(即10分钟内只能发两条,一天最多发10条),可以保障正常手机用户体验,也避免包含手工恶意点击发送无效验证码短信。
以上几个措施对动态短信验证码类业务,进行短信息安全防护其他行为的短信,和有需要的最好也做一下以上几点限制,有效避免不必要的通道投诉。详细技术方案可咨询浪驰短信接口客服人员400-688-3208
上一篇: 美业服务的会员邀约短信怎么发?
售前咨询