搜索:   
现在的位置:首页 > 产品中心

【凌凯分享】动态短信验证码安全防护方案

来源:本站 作者: 发布时间:2018-10-05 22:15:52 人气: [ ] 查看评论

  我们在使用短信验证码的过程中,部分用户会连续收到莫名验证码短信,对用户正常的业务使用造成了严重的影响;同时还引起了大量的用户投诉,部分省份反馈行业端口的验证码业务投诉量居高不下,所占总投诉量比重超过 50%。 经分析该问题是由一种互联网恶意攻击方法—— “短信炸弹”。

  短信炸弹原理 :短信炸弹一般基于WEB 方式(基于客户端方式的“短信炸弹”工具原理类似), 其由两个模块组成,包括:一个前端 Web 网页,提供输入被攻击者手机号码的输入窗口;一个后台攻击页面(如 PHP),利用从各个网站上找到的动态短信URL和前端输入的被攻击者手机号码,发送 HTTP 请求,每次请求给用户发送一个动态短信。

  短信炸弹形成的原因是因为非授权的动态短信获取,而由于业务的需要(如注册、好友邀请等),在使用动态短信业务前系统并不能建立业务关联。因此, 在未建立业务关联的情况下,需要进一步严格限制保证业务使用的安全性。 针对短信炸弹问题,建议综合采用:增加图片验证码、单 IP 请求次数限制、发送时长限制的措施,防护“动态短信获取”功能与业务接口。

  建议在服务器端限制单个IP在单位时间内的请求次数,一旦用户请求次数(包括失败请求次数)超出设定的阈值,则暂停对该 IP 一段时间的请求;若情节特别严重,可以将 IP 加入黑名单,禁止该IP的访问请求。该措施能限制一个IP地址的大量请求,避免攻击者通过同一个IP对大量用户进行攻击,增加了攻击难度,保障了业务的正常开展。

评论】【加入收藏夹】【打印】【关闭】【进入论坛讨论】【回顶部

评分: 1分 2分 3分 4分 5分 平均得分: 分,有 人参与评分.
发表评论:(可直接用论坛账号评论) 共有条评论 查看全部评论

查看全部评论

最新资讯

热点资讯

推荐资讯

最新教程

关于我们| 客户案例| 服务项目| VIP服务| 联系我们| 客户服务| 免责声明|
Powered by 凯发娱乐 Code © 2016-2017 www.g22.com