如何防止网站短信验证码被恶意盗刷?
发布时间:2024-05-10 来源:云智慧通信联盟浏览次数:29
现在手机已经成为了人们必不可少的东西,手机号几乎成了我们身份ID,当前在互联网各大网站、APP等注册几乎都是通过手机号验证短信来完成注册,作为重要的身份验证工具,因其操作简便、安 全性高、时效性强等优点已被开发人员广泛使用,但如果验证码防御没做好,很有可能就成为了黑客攻击的点,可能会在几分钟内就能把你的短信给耗光,所以做好短信验证码防御是十分重要的。
应对恶意刷短信验证码的行为网站可以采取一些防护措施:
(1)单个手机号发送次数限制
比如每个手机号一天至多只允许收到5条等,这个一般不需要自己在程序里设置,因为一般短信平台都会进行一个限制,只需跟客服说一下就可以实现。当然一般黑客攻击其实是用了成千上万个手机号的,重复一个手机号去攻击的也是很少。
(2)发送时间间隔限制
比如设置60秒或120秒后可再发送,这里注意一点,这个限制要做两面,不仅前端html上对按钮进行失效设置,同时后端也需 要验证这个时间限制间隔,只做前端只能防小白。
(3)增加其它字段的验证
在发送手机验证码前,先让用户把如用户名、邮箱、密码等字段填写完整并验证可行性,再允许用户发送手机验证码。
(4)增加图形验证码
图形验证码需要保存在Session里面,并且使用完了一个图形验证码后需立即让这个图形验证码失效,防止黑客一直用一个图形验证码通过。但是在使用过程中涉及到用户体验问题,不能简单粗暴地套用这一策略。以下几个点值得仔细考虑:
是不是每次获取短信验证码之前都需要用户输入图形验证码,一般来说这样做会很影响用户体验,虽然是相对安 全,但是用户用着不爽了。
可以给一个安 全范围。结合手机号限制、IP限制来考虑,比如同一个手机号当天第3次获取短信验证码的时候,出现图形验证码;比如同一个IP地址当天获取验证码次数超过100次后,出现图形验证码。
(5)同一个IP限制发送次数
这里需要开发人员先能获取到客户端的真实IP地址,对于同一个IP的手机,同一时间段,可以设置接收短信消息的数量,防止一个手机号一直不断的刷短信,一般后台限制10次就差不多了,但是这个限制作用有限,因为黑客往往都是切换IP的。
(6)判断用户发送验证码的页面入口是否是你的注册页面
这一点很重要,黑客在攻击的时候都是直接调用你发送验证的那个中间页面,可能直接跳过了你的注册页面入口,他会按照你的方法拼好要传输的参数字段直接去调用方法,这个时候我只要在后台判断一下用户进来的入口是否是注册页面的地址就行。迫使黑客通过注册页面入口进行入侵,但是这显然加大了攻击的成本。
(7)记录下验证码发送的日志,根据日志分析制定防范方法
如果上面6点做完还是发现攻击存在,那么就需要根据记录下的验证码发送日志分析来制定相应的防范措施了。
温馨提示:以上是防止短信验证码被刷常用的一些措施,以上的方法并不一定能够完全杜绝短信被刷,因此,我们也应该做好短信的预警机制,即当短信的使用量达到一定量之后,向管理员发送预警信息,管理员可以立刻对短信的接口情况进行监控和防护。
畅聊网短信平台立于2007年,本平台主要为企业网站、软件、系统提供高品质、个性化的短信接入及发送服务。公司拥有专业的开发及服务团队,同时获得了多项自主知识产权及ICP/SP资质,并拥有自主知识产权的集短信发送、智能回复、短信集成、关键字过滤、智能调度及数据分析统计等功能为一体的综合性、自主化的短信应用管理平台。
经过14年的发展,为数万家短信用户提供了有保障、稳定的短信应用服务。
服务热线:+86-18088302222
