@系统运行时 | 短信验证码接口攻击
线上系统短受到对于短信验证码接口的恶意攻击,在此记录解决过程。
过程描述
- 短信运营商首先会针对平台自己的短信发送量进行监控预警,若是出现短信发送量异常的状况会联系平台进行排查。
- 根据短信平台近2-3天的短信发送行为进行分析(同一个手机号的发送频率、某个时间段的发送频率、持续时间等)。
- 定位致使恶意攻击的接口地址以及攻击方式(页面自动化攻击或接口直接调用攻击),若是系统作了短信验证码的防御,此处可排除接口直接调用攻击。
- 在服务器端限制IP的请求频率及次数(若是是非间歇性攻击可能致使服务器压力过大而崩溃)。
- 增长图形验证机制。
- 增长对同一个手机号码一天内发送验证码总次数限制,而且若是连续2-3天此手机号码有一样的短信验证码请求行为则直接加入黑名单。
- 因为这次攻击涉及到不一样的业务场景,咱们分别作不一样的处理,针对注册页面增长图形验证码机制,针对忘记密码页面咱们采起分步校验,先校验用户名密码并获得成功回执后才进行短信验证码的发送。
以上是针对本次攻击进行的处理过程描述,这种短信验证码接口的恶意攻击已经不是第一次碰见,在上一家公司也有发生,恰巧经过此次事故记录(另外这种攻击也会影响到平台给用户的形象,这次就有几个用户进行电话投诉短信验证码的骚扰行为)。
针对短信验证码接口被恶意攻击的防范总结
一. 短信接口被恶意攻击(短信轰炸)解读html
短信验证码接口被恶意攻击通常主要用于短信轰炸。
短信轰炸通常基于 WEB 方式(基于客户端方式的原理与之相似),由两个模块组成,包括:前端
- 一个前端
Web网页,提供输入被攻击者手机号码的表单; - 一个后台攻击页面(如
html),利用从各个网站上找到的动态短信URL和前端输入的被攻击者手机号码,发送HTTP请求,每次请求给用户发送一个动态短信。
被攻击者大量接收非自身请求的短信,形成没法正常使用移动运营商业务。
短信接口被刷一般指的就网站的动态短信发送接口被此类短信轰炸工具收集,做为其中一个发送途径。
具体工做原理以下:安全
- 恶意攻击者在前端页面中输入被攻击者的手机号;
- 短信轰炸工具的后台服务器,将该手机号与互联网收集的可不须要通过认证便可发送动态短信的 URL 进行组合,造成可发送动态短信的 URL 请求;
- 经过后台请求页面,伪造用户的请求发给不一样的业务服务器;
- 业务服务器收到该请求后,发送动态短信到被攻击用户的手机上。
二. 短信验证码的攻击方式服务器
- 人工频繁点击(这种方式概率很是小)
- 经过脚本攻击,页面自动化模拟点击和直接经过短信接口攻击
三. 容易被恶意攻击的场景工具
- 注册页面
- 忘记密码页面
- 手机短信动态验证码登陆
四. 防止短信验证码恶意攻击的手段网站
-
增长图形化验证码code
恶意攻击者采用自动化工具,调用
动态短信获取接口进行动态短信发送,缘由主要是攻击者能够自动对接口进行大量调用。
采用图片验证码可有效防止工具自动化调用,即当用户进行“获取动态短信” 操做前,弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效解决短信轰炸问题。htm安全的图形验证码必须知足以下防御要求接口
- 生成过程安全:图片验证码必须在服务器端进行产生与校验;
- 使用过程安全:单次有效,且以用户的验证请求为准;
- 验证码自身安全:不易被识别工具识别,能有效防止暴力破解。
- 单IP请求次数限制
使用了图片验证码后,能防止攻击者有效进行
动态短信功能的自动化调用
但若攻击者忽略图片验证码验证错误的状况,大量执行请求会给服务器带来额外负担,影响业务使用。建议在服务器端限制单个IP在单位时间内的请求次数,一旦用户请求次数(包括失败请求次数)超出设定的阈值,则暂停对该IP一段时间的请求;若情节特别严重,能够将IP加入黑名单,禁止该IP的访问请求。该措施能限制一个IP地址的大量请求,避免攻击者经过同一个IP对大量用户进行攻击,增长了攻击难度,保障了业务的正常开展。图片 - 手机号码限定
根据业务特色,限定每一个手机号码天天最多发送量
- 限制发送时间间隔
此限定已经很是广泛,即当单个用户请求发送一次动态短信以后,服务器端限制只有在必定时长以后(此处通常为60秒),才能进行第二次动态短信请求。该功能可进一步保障用户体验,并避免包含手工攻击恶意发送垃圾验证短信。
- 流程限定
若是是相似忘记密码功能页面,咱们能够将手机短信验证和用户密码设置分红两个步骤,用户在设置完成用户密码后,并须要获取上一步的成功回执后才进行手机验证码的发送。
攻击者恶意攻击平台短信验证码接口,不只会增长公司的运营成本,也会给公司的形象形成极坏的影响(好比本次攻击就有用户致电客服进行投诉),因此必需要对这种行为进行必要的防范。
附加说明
参考连接
- 1. 防止恶意攻击短信验证码接口方法
- 2. 短信验证码接口被恶意攻击怎么办?
- 3. 短信验证码接口攻击(短信轰炸)原理分析
- 4. 如何防止短信接口验证码被恶意点击?
- 5. 短信验证码api接口测试
- 6. 短信接口调用-手机短信,验证码
- 7. Web安全指南 | 八招应对短信验证码攻击
- 8. 短信验证码
- 9. 如何防止网站短信验证码被攻击
- 10. 短信接口发送验证码倒计时以及提交验证
- 更多相关文章...
- • XML 验证器 - XML 教程
- • XML 验证 - XML 教程
- • Docker容器实战(七) - 容器眼光下的文件系统
- • 算法总结-滑动窗口
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 防止恶意攻击短信验证码接口方法
- 2. 短信验证码接口被恶意攻击怎么办?
- 3. 短信验证码接口攻击(短信轰炸)原理分析
- 4. 如何防止短信接口验证码被恶意点击?
- 5. 短信验证码api接口测试
- 6. 短信接口调用-手机短信,验证码
- 7. Web安全指南 | 八招应对短信验证码攻击
- 8. 短信验证码
- 9. 如何防止网站短信验证码被攻击
- 10. 短信接口发送验证码倒计时以及提交验证