短信验证码接口被恶意攻击怎么办？

短信接口验证码通常用于电商、手机APP、网上银行、社交论坛等互联网行业，通过短信验证码进行身份二次验证，确保用户身份真实有效。但是，最近有很多用户莫名收到各类注册短信、验证短信等，技术人员排查，发现是短信验证码接口被恶意攻击了，导致验证码接口被刷。那么该如何避免被刷呢？
一、短信验证码接口是怎么被恶意攻击的（短信接口被刷）
短信验证码接口被恶意攻击一般主要用于短信轰炸。
而短信轰炸的具体工作原理如下：
 1、恶意攻击者在前端页面中输入被攻击者的手机号；
 2、短信轰炸工具的后台服务器，将该手机号与互联网收集的可不需要经过认证即可发送动态短信的URL进行组合，形成可发送动态短信的URL请求；

 3、通过后台请求页面，伪造用户的请求发给不同的业务服务器；
 4、业务服务器收到该请求后，发送动态短信到被攻击用户的手机上。



[align=center]图为 短信轰炸流程示例

[/align]
通常短信轰炸是基于WEB方式(基于客户端方式的原理与之类似)，由两个模块组成，包括:一个前端Web网页，提供输入被攻击者手机号码的表单；一个后台攻击页面(如PHP)，利用从各个网站上找到的动态短信URL和前端输入的被攻击者手机号码，发送HTTP请求，每次请求给用户发送一个动态短信。
被攻击者大量接收非自身请求的短信，造成无法正常使用移动运营商业务。
       短信接口被刷通常指的就网站的动态短信发送接口被此类短信轰炸工具收集，作为其中一个发送途径。

二、易遭恶意攻击的场景或网站
 1、网络在线投票站（需要填写手机号码进行校验）
  2、用户在线注册页面（包含手机短信验证功能）
  3、手机短信动态密码登录
 
三、恶意点击手机短信验证码的途径
用户恶意点击手机短信验证码主要有两种途径，一种是人工频繁点击；一种是通过软件连续点击，就危害性来说，软件连续点击的危害要大的多。
 
四、防止短信验证码接口被恶意攻击的手段
用户恶意点击手机短信验证码，不仅会增加公司的运营成本，也会给公司的形象造成极坏的影响（一般短信都会带公司的签名），所以必须要对这种行为进行防范，目前，防范的手段主要有以下几个方面：
1、【短信发送间隔设置】
设置同一号码重复发送的时间间隔，一般设置为60-120秒。该功能可进一步保障用户体验，并避免包含手工攻击恶 意发送垃圾验证短信。
2、【IP限定】
根据自己的业务特点，设置每个IP每天的最大发送量
3、【手机号码限定】
根据业务特点，设置每个手机号码每天的最大发送量
4、【流程限定】
将手机短信验证和用户名密码设置分成两个步骤，用户在设置成功用户名密码后，下一步才进行手机短信验证。并且需要在获取第一步成功的回执之后才可进行校验。
5、【绑定图型校验码】
将图形校验码和手机验证码进行绑定，当用户输入手机号码以后，需要输入图形校验码才可以触发短信，这样能比较有效的防止软件恶意点击。现在大型网站都采用此方式。如注册网易邮箱：



6、【发送量限定】——设置每个手机号码每天的最大发送量。



图为 完整的动态短信验证码使用流程

转载地址：http://www.cr6868.com/html/xyxw/2709.html