如今，越來(lái)越多的產(chǎn)品使用短信認(rèn)證功能，如產(chǎn)品注冊(cè)、登錄、支付、密碼檢索等。可見(jiàn)，短信接口服務(wù)已經(jīng)成為重要的基礎(chǔ)設(shè)施之一。由于其重要性，許多惡意攻擊繼續(xù)圍繞著短信界面，許多團(tuán)隊(duì)都遭受了它。那么，防止短信接口攻擊的常見(jiàn)方案是什么？以下是對(duì)彼此無(wú)線小系列的簡(jiǎn)要介紹。1.認(rèn)證:1。圖形校驗(yàn)碼綁定到手機(jī)驗(yàn)證碼。用戶輸入手機(jī)號(hào)碼后，還可以要求用戶輸入圖形校驗(yàn)碼或根據(jù)圖形執(zhí)行一些邏輯操作(例如，36=？)可以觸發(fā)短信，這有利于防止一些惡意軟件點(diǎn)擊。2.聯(lián)系人驗(yàn)證:如果12306列車(chē)出售車(chē)票，用戶需要選擇某些圖標(biāo)或字符。雖然用戶體驗(yàn)會(huì)降低，但安全性會(huì)大大提高。3.滑動(dòng)驗(yàn)證:普通的圖形驗(yàn)證碼容易被各種暴力機(jī)器破解，而滑動(dòng)驗(yàn)證只能監(jiān)控鼠標(biāo)移動(dòng)，無(wú)法通過(guò)數(shù)據(jù)驗(yàn)證，可以有效防止機(jī)械破解。以上三種方法都有現(xiàn)成的開(kāi)源類(lèi)庫(kù)作為參考，可以根據(jù)自己的情況進(jìn)行二次開(kāi)發(fā)。第二，觸發(fā)限制:通過(guò)控制短信的觸發(fā)，限制異常用戶行為。有三種常見(jiàn)的做法:1。設(shè)置每個(gè)IP的每日發(fā)送量；2.設(shè)置同一號(hào)碼重復(fù)傳輸?shù)臅r(shí)間間隔，一般為60-120秒；3.設(shè)置每個(gè)手機(jī)號(hào)碼的每日發(fā)送量；另外，請(qǐng)?jiān)隍?yàn)證碼內(nèi)容中添加退訂操作，如:回復(fù)t拒絕；退訂并回復(fù)t和其他相關(guān)內(nèi)容。當(dāng)非用戶觸發(fā)收到的短信，用戶回復(fù)短信時(shí)，平臺(tái)將在拒絕數(shù)據(jù)庫(kù)中列出，并停止向該號(hào)碼發(fā)送短信。第三，業(yè)務(wù)流程限制:設(shè)置特定的業(yè)務(wù)流程來(lái)防止攻擊腳本，如以下兩種方案:1。流程劃分，只有在用戶成功注冊(cè)賬戶密碼平臺(tái)獲取用戶信息后，才可以觸發(fā)短信驗(yàn)證碼。2.信息是完美的。如果用戶填寫(xiě)注冊(cè)信息不完整，就不能發(fā)送短信驗(yàn)證碼。邊肖先在這里介紹一下關(guān)于短信接口攻擊的防范方案。如果你遇到任何其他問(wèn)題，你也可以聯(lián)系邊肖。