短信验证码接口被恶意攻击怎么办?
2016-11-29 21:16
169 查看
短信接口验证码通常用于电商、手机APP、网上银行、社交论坛等互联网行业,通过短信验证码进行身份二次验证,确保用户身份真实有效。但是,最近有很多用户莫名收到各类注册短信、验证短信等,技术人员排查,发现是短信验证码接口被恶意攻击了,导致验证码接口被刷。那么该如何避免被刷呢?
一、短信验证码接口是怎么被恶意攻击的(短信接口被刷)
短信验证码接口被恶意攻击一般主要用于短信轰炸。
而短信轰炸的具体工作原理如下:
1、恶意攻击者在前端页面中输入被攻击者的手机号;
2、短信轰炸工具的后台服务器,将该手机号与互联网收集的可不需要经过认证即可发送动态短信的URL进行组合,形成可发送动态短信的URL请求;
3、通过后台请求页面,伪造用户的请求发给不同的业务服务器;
4、业务服务器收到该请求后,发送动态短信到被攻击用户的手机上。
[align=center]图为 短信轰炸流程示例
[/align]
通常短信轰炸是基于WEB方式(基于客户端方式的原理与之类似),由两个模块组成,包括:一个前端Web网页,提供输入被攻击者手机号码的表单;一个后台攻击页面(如PHP),利用从各个网站上找到的动态短信URL和前端输入的被攻击者手机号码,发送HTTP请求,每次请求给用户发送一个动态短信。
被攻击者大量接收非自身请求的短信,造成无法正常使用移动运营商业务。
短信接口被刷通常指的就网站的动态短信发送接口被此类短信轰炸工具收集,作为其中一个发送途径。
二、易遭恶意攻击的场景或网站
1、网络在线投票站(需要填写手机号码进行校验)
2、用户在线注册页面(包含手机短信验证功能)
3、手机短信动态密码登录
三、恶意点击手机短信验证码的途径
用户恶意点击手机短信验证码主要有两种途径,一种是人工频繁点击;一种是通过软件连续点击,就危害性来说,软件连续点击的危害要大的多。
四、防止短信验证码接口被恶意攻击的手段
用户恶意点击手机短信验证码,不仅会增加公司的运营成本,也会给公司的形象造成极坏的影响(一般短信都会带公司的签名),所以必须要对这种行为进行防范,目前,防范的手段主要有以下几个方面:
1、【短信发送间隔设置】
设置同一号码重复发送的时间间隔,一般设置为60-120秒。该功能可进一步保障用户体验,并避免包含手工攻击恶 意发送垃圾验证短信。
2、【IP限定】
根据自己的业务特点,设置每个IP每天的最大发送量
3、【手机号码限定】
根据业务特点,设置每个手机号码每天的最大发送量
4、【流程限定】
将手机短信验证和用户名密码设置分成两个步骤,用户在设置成功用户名密码后,下一步才进行手机短信验证。并且需要在获取第一步成功的回执之后才可进行校验。
5、【绑定图型校验码】
将图形校验码和手机验证码进行绑定,当用户输入手机号码以后,需要输入图形校验码才可以触发短信,这样能比较有效的防止软件恶意点击。现在大型网站都采用此方式。如注册网易邮箱:
6、【发送量限定】——设置每个手机号码每天的最大发送量。
图为 完整的动态短信验证码使用流程
转载地址:http://www.cr6868.com/html/xyxw/2709.html
一、短信验证码接口是怎么被恶意攻击的(短信接口被刷)
短信验证码接口被恶意攻击一般主要用于短信轰炸。
而短信轰炸的具体工作原理如下:
1、恶意攻击者在前端页面中输入被攻击者的手机号;
2、短信轰炸工具的后台服务器,将该手机号与互联网收集的可不需要经过认证即可发送动态短信的URL进行组合,形成可发送动态短信的URL请求;
3、通过后台请求页面,伪造用户的请求发给不同的业务服务器;
4、业务服务器收到该请求后,发送动态短信到被攻击用户的手机上。
[align=center]图为 短信轰炸流程示例
[/align]
通常短信轰炸是基于WEB方式(基于客户端方式的原理与之类似),由两个模块组成,包括:一个前端Web网页,提供输入被攻击者手机号码的表单;一个后台攻击页面(如PHP),利用从各个网站上找到的动态短信URL和前端输入的被攻击者手机号码,发送HTTP请求,每次请求给用户发送一个动态短信。
被攻击者大量接收非自身请求的短信,造成无法正常使用移动运营商业务。
短信接口被刷通常指的就网站的动态短信发送接口被此类短信轰炸工具收集,作为其中一个发送途径。
二、易遭恶意攻击的场景或网站
1、网络在线投票站(需要填写手机号码进行校验)
2、用户在线注册页面(包含手机短信验证功能)
3、手机短信动态密码登录
三、恶意点击手机短信验证码的途径
用户恶意点击手机短信验证码主要有两种途径,一种是人工频繁点击;一种是通过软件连续点击,就危害性来说,软件连续点击的危害要大的多。
四、防止短信验证码接口被恶意攻击的手段
用户恶意点击手机短信验证码,不仅会增加公司的运营成本,也会给公司的形象造成极坏的影响(一般短信都会带公司的签名),所以必须要对这种行为进行防范,目前,防范的手段主要有以下几个方面:
1、【短信发送间隔设置】
设置同一号码重复发送的时间间隔,一般设置为60-120秒。该功能可进一步保障用户体验,并避免包含手工攻击恶 意发送垃圾验证短信。
2、【IP限定】
根据自己的业务特点,设置每个IP每天的最大发送量
3、【手机号码限定】
根据业务特点,设置每个手机号码每天的最大发送量
4、【流程限定】
将手机短信验证和用户名密码设置分成两个步骤,用户在设置成功用户名密码后,下一步才进行手机短信验证。并且需要在获取第一步成功的回执之后才可进行校验。
5、【绑定图型校验码】
将图形校验码和手机验证码进行绑定,当用户输入手机号码以后,需要输入图形校验码才可以触发短信,这样能比较有效的防止软件恶意点击。现在大型网站都采用此方式。如注册网易邮箱:
6、【发送量限定】——设置每个手机号码每天的最大发送量。
图为 完整的动态短信验证码使用流程
转载地址:http://www.cr6868.com/html/xyxw/2709.html
相关文章推荐
- 防止恶意攻击短信验证码接口方法
- Win10企业版可被虚假Windows更新攻击 导致系统感染恶意软件
- 提高警惕:更多恶意软件攻击 Mac 计算机
- 通过设定OpenSSH账户登录 避免恶意攻击
- php 接口安全检查--防止url链接或者接口地址暴露后,网站被恶意攻击
- 2017年恶意Office文档攻击研究报告
- 怎么识别电脑参数(防止做假、恶意修改)
- GitChat 被恶意攻击引发的技术性思考:拒绝服务攻击
- 网站被大流量攻击怎么办?
- 新网互联确认19日DNS服务器遭恶意攻击,导致数以万计的域名无法访问
- 有关网络攻击的世界地图是怎么开发的?比如 ZoomEye 经常有一些这样很酷的地图~
- 怎么去除google的“该网站可能含有恶意软件,有可能会危害您的电脑。
- 网站提示“访问网站包含恶意软件”怎么申诉移除
- 昨日关注:8848网站遭DDoS恶意攻击 目前仍无法访问
- 公司对外若干台web服务器,发现有人恶意刷新页面,怎么办?
- DDoS恶意攻击高发 趋势教你如何防御
- 网站受到攻击怎么办
- 关于竞争对手恶意攻击传智播客的通告
- 什么是XSS和CSRF攻击,怎么防护
- [转]避免恶意攻击行为 服务器安全维护技巧