從網(wǎng)絡(luò)2.0到移動(dòng)互聯(lián)網(wǎng)時(shí)代，越來越多的產(chǎn)品功能開始使用短信認(rèn)證功能，注冊/登錄/密碼檢索/支付?？梢哉f，短信服務(wù)(接口)已經(jīng)成為重要的技術(shù)基礎(chǔ)設(shè)施之一。正是因?yàn)樗闹匾?，越來越多的惡意攻擊開始圍繞著短信界面展開，許多團(tuán)隊(duì)已經(jīng)涉足其中。因此，梳理一下常用的短信攻擊防范措施，供您參考。一、認(rèn)證1。圖形校驗(yàn)碼綁定到手機(jī)驗(yàn)證碼。當(dāng)用戶輸入手機(jī)號(hào)碼時(shí)，他需要輸入圖形校驗(yàn)碼或根據(jù)圖形進(jìn)行一些邏輯運(yùn)算(例如，25 one=？)可以觸發(fā)短信，這可以有效防止軟件的惡意點(diǎn)擊。2.聯(lián)系人驗(yàn)證:讓用戶選擇一些指定的圖標(biāo)或字符。典型的例子是12306火車票，但是用戶體驗(yàn)會(huì)受到很大影響。效率和安全通常是一對矛盾。特別是，當(dāng)需要選擇的項(xiàng)目很棒時(shí)，它們會(huì)在一定程度上傷害普通用戶。-_-！3.滑動(dòng)驗(yàn)證:目前，越來越流行的方法是通過拖動(dòng)鼠標(biāo)來實(shí)現(xiàn)驗(yàn)證。對于普通的圖形驗(yàn)證碼，很容易被各種暴力機(jī)器破解，而滑動(dòng)驗(yàn)證只能監(jiān)控鼠標(biāo)的移動(dòng)，卻無法通過數(shù)據(jù)驗(yàn)證，從而防止機(jī)械破解。以上三種方法都有現(xiàn)成的開源類庫作為參考，可以根據(jù)自己的情況進(jìn)行二次開發(fā)。其次，業(yè)務(wù)流程被限制為通過設(shè)置特定的業(yè)務(wù)流程來防止攻擊腳本，例如以下兩種方案:1。將流程分成兩部分，進(jìn)行業(yè)務(wù)操作，然后進(jìn)行短信驗(yàn)證。例如，短信驗(yàn)證和用戶名注冊分為兩個(gè)步驟。用戶成功注冊用戶名和密碼后，下一步是短信驗(yàn)證。簡而言之，沒有新用戶的信息，短信不會(huì)成功。2.您必須填寫相關(guān)信息才能觸發(fā)短信。例如，用戶必須在觸發(fā)前填寫所有注冊信息，注冊信息不完整，驗(yàn)證碼無法發(fā)送。第三，觸發(fā)限制通過挖掘和限制異常用戶行為來控制短消息的觸發(fā)。通常有以下三種方法:1 .設(shè)置發(fā)送間隔，設(shè)置同一號(hào)碼重復(fù)發(fā)送的時(shí)間間隔，一般設(shè)置間隔為60-120秒；2.觸發(fā)IP限制并設(shè)置每個(gè)IP的每日發(fā)送量；3.限制發(fā)送量，設(shè)置每個(gè)手機(jī)號(hào)碼的每日發(fā)送量；另外，請對驗(yàn)證碼內(nèi)容添加退訂操作，如:回復(fù)TD拒絕；退訂并回復(fù)運(yùn)輸署及其他相關(guān)內(nèi)容。當(dāng)非用戶觸發(fā)收到的短信，用戶回復(fù)時(shí)，平臺(tái)將在拒絕數(shù)據(jù)庫中列出，并停止發(fā)送號(hào)碼。原PO所有者:謝東生林/建筑棧