如何防止短信验证码接口、登录注册入口被恶意调用攻击?

目录

      • 前言
        • 1、短信验证码是什么?
        • 2、为什么要对短信验证码进行防护?
        • 3、有哪些常见的防护手段?
        • 4、这些防护手段有没有用呢,到底该如何选择?
        • 5、结语

前言

最近遇到一个关于防止短信验证码被刷的问题,相信很多朋友也遭遇过这个被刷短信的问题。因此,就“防止验证码短信被盗刷”作一个总结和分享。

1、短信验证码是什么?

1.短信验证码是什么:

短信验证码是通过发送验证码到手机的一种有效的验证码系统。

某些验证码接入商提供手机短信验证码服务,各网站通过接口发送请求到接入商的服务器,服务器发送随机数字或字母到手机中,由接入商的服务器统一做验证码的验证。

通俗点讲呢就是在一些网站或者app上给你输入的手机号发送一条带有数字或字母验证码的短信。比如你在登陆某个app的时候就可以通过短信验证码来登陆。

在这里插入图片描述

2.短信验证码的适用场景有哪些:

1、注册验证

注册验证是短信验证码最常见的应用场景。在注册的过程中,客户按照系统要求输入手机号码,系统会将动态验证码发送到给该手机号码,用户收到验证码后,将验证码数字按要求输入指定位置,完成注册验证。能够有效的防止恶意注册和重复注册。

2、信息变更

系统用户在修改密码、手机号等个人账户信息时,为了确保为账户户主本人操作,保障用户的信息和财产安全,系统会要求必须经过短信验证才能进行修改。比如银行系统,在进入个人账户页面查看个人信息时,都必须经过验证才能打开相关页面。

3、找回密码

为了账户安全,用户大多会给账户设置较为复杂的密码,也有一些系统会给密码的安全等级分级,以此督促用户设置更为复杂的密码来保障账户的安全。然而,越是复杂就越容易遗忘。虽然现在很多浏览器和手机系统都有记录密码自动登录的功能,但是这种记录都是存在时限的,一旦超过时限,仍然需要手动输入密码,对于这种情况,因为不常记忆,往往更容易遗忘。在加入手机验证码功能后,只需要向绑定的手机号码发送验证码短信,获取验证码就能成功修改密码,操作简单、快速。

4、动态登录

现在很多安全性要求比较高或盗号比较严重的网站,在登录时都会要求进行动态验证登录,即每次登录系统时,都需要从系统获取验证码短信,输入正确的验证码才能进入系统。前者如联通、移动、电信三大运营商的应用APP。后者如各类大型游戏网站,因大型游戏网站中的角色财富甚至角色本身都能通过某些操作换取现金,是许多通过盗号窃取财富的犯罪分子的首选。

以上就是短信验证码在各大网站系统最常见的四种应用场景。除此以外,短信验证码在网络投票、问卷调查、抽奖互动等需要保障一人一票的特殊场景中,也起到了重要作用。
在这里插入图片描述

2、为什么要对短信验证码进行防护?

短信验证码作为APP和网站最基础的需求,时常会被黑客恶意利用和进行短信轰炸。具体出现的状况,请看下面的截图(图片来自互联网)
在这里插入图片描述

如果短信验证码接口和页面不做任何限制,黑客很容易利用一些恶意的短信轰炸软件对接口进行攻击,不停的对同一个号码或者N个号码重复发送验证码短信。

短信验证码被攻击,不仅会对用户造成骚扰,引起投诉,更会浪费你的短信余额,降低品牌形象。如果做好短信接口防护,一旦被攻击,将面临的是众多不必要的损失。

3、有哪些常见的防护手段?

在介绍防护手段前我们需要了解下常见的刷短信验证的行为。

1.以攻击手机号为目的刷短信验证码

这类攻击目标主要是攻击者借助web网站短信接口对目标手机号进行短信轰炸。攻击者会先收集互联网上多个未经防护的网站短信接口,设定要攻击的手机号码通过模拟用户,循环向后台发送短信验证码请求,达到攻击手机号的目的。对于这类攻击一般不会再同一网站平凡发送,通过一般防护手段即可达到防护目的。

2.以恶意刷取目标网站短信费用为目的的攻击

这类攻击主要目的是刷掉目标网站的短信费用,在第一种基础上攻击者会不停变换各种接口参数如手机号、IP(采用高匿代理)等去请求后台发送短信验证码,进行恶意刷短信,后台根本无力辨别用户真伪。攻击目标明确,难以防护,因其变换不同IP、手机号,一些简单措施基本失效,产品设计人员在前期产品设计时尤其需要注意这类攻击。

下面是针对攻击者做出的一些常见的应对措施。

1.增加前端验证码

在获取短信验证码前增加图文验证码是较为常用的方法。攻击者一般是采用自动化攻击,增加图文验证码后,攻击者要对验证进行识别验证成功后才能进行模拟用户发送请求。

常见的前端验证码有以下几种:

(1) 输入类
在这里插入图片描述
在这里插入图片描述
(2) 滑动类
在这里插入图片描述

(3) 点击类
在这里插入图片描述

2.对单个手机号请求限制

对单个手机号进行单日接收次数的限制,可以防止单个手机号无限制刷短信,同时设置时间间隔可以有效,防止人工刷票。短信接收次数可以根据平台特点进行限制,一般日接受验证码次数为10次左右;同一号码发送时间间隔通常为60秒,前后端必须保持一致。

3.对单个IP请求限制

对单IP最大发送量进行限制,可以有效防止单一IP下多手机号被刷的问题。最大发送量限制是防止恶意攻击者同IP下不同手机号进行刷短信验证码行为。根据平台实际情况设计一个短信最大发送量的阀值,超过阀值将不予返回短信。

4.对手机号码真实性限制

检测输入手机号码的有效性,屏蔽无效和非法的手机号码。

5.对传出参数进行加密限制

通过对传向服务器各项参数进行加密,到了服务器再进行解密,同时用token作为唯一性识别验证,后台写一个算法将token注入到前端,然后前端可以通过相应的规则获取到token,在发送短信验证请求接口数据时带上token,在后端对token进行验证,验证通过才能正常将短信发送。

4、这些防护手段有没有用呢,到底该如何选择?

1.第一种方法最为常见,可以有效提升攻击者的攻击成本,但同时也需要考虑到用户体验。对于第一种攻击手段来讲,攻击者一般都会直接放弃这种网站,但是也难免碰到头铁的非要将你的网站拉入他的轰炸网站库中,毕竟打码平台相当便宜。如果碰到第二种攻击则相当于徒劳。

2.第二种到第五种方法可以同时结合使用,也可以结合第一种方法使用。不过大多数情况是好多人只用了第一种方法就以为能高枕无忧了,却不知道早已被人破解。加上后几种方式可以在某些方面有效提高防护有效性。

这个时候有人就说了,发个短信验证么还要搞这么多事情,烦死了。
在这里插入图片描述

有人问,博主除了这些还有没有更好的办法来解决这个问题呢?有没有不需要我写那么多代码就能防护好短信不被盗刷的?

答案当然是有了。

有人已经开发好了一款专门儿为防护短信验证码的短信防火墙,它能够实时有效的防护每一条短信。拦截大多数恶意攻击请求。

那么有人就说了,这个短信防火墙跟上面这些有啥不一样的,莫不是就把上面这些整一块了吧?

当然不是啦,他还有以下几方面的特点。

  1. 区分正常用户请求和模拟器自动攻击脚本请求。对模拟器脚本攻击实施拦截。
  1. 能够区分每台设备,对设备施加防护策略。在受到攻击时只对攻击者设备进行拦截,正常用户设备则不收影响。
  1. 能够区分新老用户,在受到攻击时也能够确保老用户的业务不受任何影响

说点儿实在的,就是你不管怎么着防吧,就是不需要你来考虑了,不需要想那么多,也不需要写那么多代码,开心就完了。

测试效果图:
在这里插入图片描述

5、结语

这篇文章到这里就结束了,感谢大佬们驻足观看,大佬们点个关注、点个赞呗~

谢谢大佬~
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/57288.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

验证非法电话号码

程序开发中经常需要用户输入用户信息或者联系方式,其中有一些数组的格式是固定的,程序处理逻辑也是按照这个格式来实现的,但是由于用户输入的是字符串,其灵活性较大,容易输入格式错误的数据。 例如,用户联系…

搞懂 API,调用 API 接口通常有这些技巧

其实没什么技巧,无他,唯熟悉API 原理(dog.jpg)。 不过对于新人来说,掌握这些基础知识还是很有必要的: 1.了解API的功能和用法:在使用API之前,您应该了解API的功能和使用方式。这将有…

如何解决Ganache界面一直转圈的问题

Ganache打不开的解决办法,针对Windows用户 Tip1Tip2 Tip1 不要直接从官网上下载,因为默认下载的是.appx文件,这样即使解压了也没有安装选项,打开ganache.exe后点击quickstart,会一直转圈进不去。(我的就是…

第一款交互式电子游戏 | 历史上的今天

整理 | 王启隆 透过「历史上的今天」,从过去看未来,从现在亦可以改变未来。 今天是 2023 年 4 月 18 日,在 1955 年的今天,著名物理学家爱因斯坦在美国新泽西州的普林斯顿逝世。爱因斯坦于 1905 年获得物理学博士学位,…

【人工智能】AI Code:当你还在谈论人工智能是否取代“程序员”的时候—— 懂 AI 的程序员,已经悄悄 ……

禅与计算机程序设计艺术出品的:Goland AI Code 开发插件: AIXCodeCompletionHelper 目录

chatgpt赋能python:Python绕过付费的SEO技巧

Python绕过付费的SEO技巧 随着网站流量成为企业重要的市场指标,SEO(搜索引擎优化)也成为了网站的重要一环。许多企业为了获取更多的流量,选择通过付费方式在搜索引擎中获得更高的曝光率。但是,对于那些没有足够预算的…

小红书内容种草推广2大玩法攻略_云媒易

随着电商时代的到来,各大品牌在做互联网营销时都热衷于种草营销,也就是我们经常用到的小红书种草推广。一次好的内容种草营销,不仅商家能够获利,还带动短视频平台、kol达人等实现共赢的局面。但是,内容种草做起来并不是…

小红书【服饰穿搭】有多火?2022年种草笔记超125万

导语 为了更好的满足各行业类目下品牌和博主对小红书内容创作的不同需求,千瓜全新推出《小红书爆文内容创作方向专栏》,为大家针对性提供小红书种草趋势洞察和灵感来源。 小红书【服饰穿搭】有多火?通过聚合2022年1月1日-2月28日两个月期间…

种草升级!小红书品牌营销新启示

2023年2月,小红书WILL商业大会提出了“产品种草"概念,产品如何扎根成长?怎样深度内容种草?如何连接消费者协同并进? 本期将与您分享千瓜营销观点,望与品牌携手在风云变幻中找寻可把握的光点&#xff0…

2300万,35岁腾讯员工准备提前退休了

最近在看帖子的时候发现一个吸引我的消息。 一腾讯员工说自己已经准备好35岁提前退休了.... 我超级好奇,他退休后咋生活呀。 我仔细一看帖子,发现,原来人家已经攒够1千万的房产,加上1千万的腾讯股票,还有300百万的应急…

和金融男谈恋爱 vs 和程序员谈恋爱

在北上广深,很多有点姿色的女生,到了婚龄都会思考一个灵魂问题—— 金融男和程序员,该如何选择? 这两种男生,在大城市的相亲市场上都是香饽饽,他们一般都是高学历高收入,但是又差别很大。 过去两…

chatgpt赋能python:Python调整优化白色SEO的实用技巧

Python调整优化白色SEO的实用技巧 众所周知,SEO(Search Engine Optimization)是网站排名的重要指标之一,而白色SEO更是一种被广泛提倡的合法优化方式。在使用Python进行网站优化时,如何调整白色SEO成为了开发者们需要…

chatgpt赋能python:用Python黑网站的SEO指南

用Python黑网站的SEO指南 介绍 黑帽SEO一直是互联网行业中的争议话题之一。虽然违法,却难以避免。在黑帽SEO的各种技巧中,使用Python对网站进行黑帽SEO操作的技巧也广受关注。这篇文章将向大家介绍如何使用Python黑网站。 Python和黑帽SEO的关系 Pyt…

chatgpt赋能python:Python黑网站的SEO优化

Python黑网站的SEO优化 随着互联网的发展,黑网站的数量也在飞速增加,其中Python黑网站也越来越多。但是,这些黑网站如何在搜索引擎中排名靠前呢?本文将介绍Python黑网站的SEO优化方法和注意事项,帮助黑客们在网络上获…

chatgpt赋能python:让Python一直执行的技巧

让Python一直执行的技巧 Python是一种高级编程语言,在机器学习、自然语言处理、Web开发、数据分析等领域得到广泛应用。但在实践过程中,我们经常需要让Python程序一直运行,例如爬虫、监控、实时处理等场景。然而Python本身并没有提供长时间运…

Auto-GPT程序流程图

Auto-GPT程序流程图 Auto-GPT介绍 https://github.com/Significant-Gravitas/Auto-GPT Auto-GPT是一个实验性的开源应用程序,展示了GPT-4语言模型的能力。这个程序由GPT-4驱动,将LLM“思想”链接在一起,以自主地实现您设置的任何目标。作…

ChatGPT常用指令大全,存下吧!很难找全的!

1️⃣通用指令:请问你对于 XX方面的看法是什么? 这个问题非常通用,可以用来询问关于你所研究的任何主题的gpt 观点。 2️⃣通用指令:你能否给我一些建议,帮助我更好地理解xx? 如果你正在研究一个复杂的概…

《GPT-4技术报告》【中文版、英文版下载】

大预言模型时代已经到来,但是真正的智能之路还很长。 一、以下是连接,大家请自取。 英文原版:https://arxiv.org/pdf/2303.08774.pdfhttps://arxiv.org/pdf/2303.08774.pdf 中文翻译版本: 人工通用智能的星星之火:GPT-4 的早期…

58 全员信:年内不能实现盈利的业务,一定不留!

上一篇:35 岁女开发,周一公司祝我入职 6 周年快乐,周四就裁员,只字不提赔偿! 继华为任正非的内部信“把活下来作为最主要纲领,边缘业务全线收缩和关闭,把寒气传递给每个人”后,又一大…

国内 WhatsApp 能用吗?WhatsApp对外贸企业的重要性?

国内WhatsApp能用吗? WhatsApp 在国内是不能用的,自2017年6月以来一直受到审查。 这意味着,如果您在中国境内打开手机上的 WhatsApp,无论您使用的是网络连接还是 Wi-Fi 连接,该应用程序都无法运行。它会尝试连接&…