短信验证码接口被恶意攻击怎么办？

短信接口验证码一般 用于 电商 、 手机 APP 、网上 银行、社交论坛等 互联网行业， 经过短信验证码进行 身份二次 验证 ，确保用户 身份真实有效。 可是 ，最近有不少用户莫名收到各种注册短信、验证 短信 等，技术人员排查，发现是短信 验证码 接口 被恶意 攻击了，致使验证码 接口 被刷。那么 该如何 避免被刷呢？

1、短信验证码接口是怎么被恶意攻击的（短信接口被刷）

短信验证码接口被恶意攻击通常主要用于 短信轰炸 。

而 短信轰炸的 具体工做原理以下：

 一、恶意攻击者在前端页面中输入被攻击者的手机号；
 二、短信轰炸工具的后台服务器，将该手机号与互联网收集的可不须要通过认证便可发送动态短信的URL进行组合，造成可发送动态短信的URL请求；
 三、经过后台请求页面，伪造用户的请求发给不一样的业务服务器；

 四、业务服务器收到该请求后，发送动态短信到被攻击用户的手机上。

图为 短信轰炸流程示例

一般短信轰炸是基于WEB方式(基于客户端方式的原理与之相似)，由两个模块组成，包括:一个前端Web网页，提供输入被攻击者手机号码的表单；一个后台攻击页面(如PHP)，利用从各个网站上找到的动态短信URL和前端输入的被攻击者手机号码，发送HTTP请求，每次请求给用户发送一个动态短信。

被攻击者大量接收非自身请求的短信，形成没法正常使用移动运营商业务。
       短信接口被刷一般指的就网站的动态短信发送接口被此类短信轰炸工具收集，做为其中一个发送途径。

2、易遭恶意攻击的场景或网站

 一、网络在线投票站（须要填写手机号码进行校验）

  二、用户在线注册页面（包含手机短信验证功能）

  三、手机短信动态密码登陆

 

3、恶意点击手机短信验证码的途径

用户恶意点击手机短信验证码主要有两种途径，一种是人工频繁点击；一种是经过软件连续点击，就危害性来讲，软件连续点击的危害要大的多。

 

4、防止短信验证码接口被恶意攻击的手段

用户恶意点击手机短信验证码，不只会增长公司的运营成本，也会给公司的形象形成极坏的影响（通常短信都会带公司的签名），因此必需要对这种行为进行防范，目前，防范的手段主要有如下几个方面：

一、【短信发送间隔设置】

设置同一号码重复发送的时间间隔，通常设置为60-120秒。该功能可进一步保障用户体验，并避免包含手工攻击恶 意发送垃圾验证短信。

二、【IP限定】

根据本身的业务特色，设置每一个IP天天的最大发送量

三、【手机号码限定】

根据业务特色，设置每一个手机号码天天的最大发送量

四、【流程限定】

将手机短信验证和用户名密码设置分红两个步骤，用户在设置成功用户名密码后，下一步才进行手机短信验证。而且须要在获取第一步成功的回执以后才可进行校验。
五、【绑定图型校验码】

将图形校验码和手机验证码进行绑定，当用户输入手机号码之后，须要输入图形校验码才能够触发短信，这样能比较有效的防止软件恶意点击。如今大型网站都采用此方式。如注册 网易邮箱：

六、【发送量限定】——设置每一个手机号码天天的最大发送量。

图为 完整的动态短信验证码使用流程

转载地址：http://www.cr6868.com/html/xyxw/2709.html