新闻正文

主页 > 客户服务 > 常见问题 >

手机验证码短信接口如何防范被恶意调用和盗刷
时间:2020-07-06
更多

企业应用手机验证码短信接口的时候,安全意识要强,要做好风险防范机制,如果没有做好防范就可能会造成一定程度的损失。

手机验证码短信接口被恶意调用和盗刷通常指的就网站的动态短信发送接口被短信轰炸工具收集,作为其中一个发送途径。

手机验证码短信接口被恶意调用和盗刷的原理是怎样的呢?如何防范呢?

 

一、什么是手机验证码短信接口被恶意调用和盗刷

手机验证码短信接口被恶意调用和盗刷一般基于 WEB 方式(基于客户端方式的原理与之类似),由两个模块组成,包括:一个前端 Web 网页,提供输入被攻击者手机号码的表单;一个后台攻击页面(如 PHP),利用从各个网站上找到的动态短信 URL 和 前端输入的被攻击者手机号码,发送 HTTP 请求,每次请求给用户发送一个动态短信。

- 被攻击者大量接收非自身请求的短信,造成无法正常使用移动运营商业务。
- 手机验证码短信接口被恶意调用和盗刷通常指的就网站的动态短信发送接口被此类短信轰炸工具收集,作为其中一个发送途径。


 

手机验证码短信接口被恶意调用和盗刷工作原理如下:

(1)恶意攻击者在前端页面中输入被攻击者的手机号;
(2)短信轰炸工具的后台服务器,将该手机号与互联网收集的可不需要经过认证即可发送动态短信的 URL 进行组合,形成可发送动态短信的 URL 请求;
(3)通过后台请求页面,伪造用户的请求发给不同的业务服务器;
(4)业务服务器收到该请求后,发送动态短信到被攻击用户的手机上。



 

流程示例:


 

二、手机验证码短信接口被恶意调用和盗刷的防护方案

鉴于手机验证码短信接口被恶意调用和盗刷的发起一般都是服务器行为,应该采用如下综合手段进行防御

(1)增加图形验证
(2)单IP请求次数限制
(3)限制号码发送

(一)增加图形验证

恶意攻击者采用自动化工具,调用“动态短信获取”接口进行动态短信发送,原因主要是攻击者可以自动对接口进行大量调用。
采用图片验证码可有效防止工具自动化调用,即当用户进行“获取动态短信” 操作前,弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效解决短信轰炸问题。

安全的图形验证码必须满足如下防护要求

- 生成过程安全:图片验证码必须在服务器端进行产生与校验;
- 使用过程安全:单次有效,且以用户的验证请求为准;
- 验证码自身安全:不易被识别工具识别,能有效防止暴力破解。

图形验证的示例:

(二)单IP请求次数限制

使用了图片验证码后,能防止攻击者有效进行“动态短信”功能的自动化调用;
但若攻击者忽略图片验证码验证错误的情况,大量执行请求会给服务器带来额外负担,影响业务使用。建议在服务器端限制单个 IP 在单位时间内的请求次数,一旦用户请求次数(包括失败请求次数)超出设定的阈值,则暂停对该 IP 一段时间的请求;若情节特别严重,可以将 IP 加入黑名单,禁止该 IP 的访问请 求。该措施能限制一个 IP 地址的大量请求,避免攻击者通过同一个 IP 对大量用户进行攻击,增加了攻击难度,保障了业务的正常开展。

(三)限制发送时长

建议采用限制重复发送动态短信的间隔时长, 即当单个用户请求发送一次动态短信之后,服务器端限制只有在一定时长之后(此处一般为60秒),才能进行第二次动态短信请求。该功能可进一步保障用户体验,并避免包含手工攻击恶 意发送垃圾验证短信。


完整的动态短信验证码使用流程




   (四)、手机验证码短信接口植入了主动防御的机制,提供了更强大的保护措施, 主动防御机制会在以下3种情况中被触发:

(1)空号率触发安全机制:

当用户请求发送的手机号码空号率达到一定的百分比之后,触发防御机制;

(2)手机号码高频率请求触发安全机制:

当单个手机号高频率的请求验证码时,到达一定比例,触发防御机制;

(3)历史黑名单命中率触发安全机制:

当命中历史黑名单到达一定比例时,触发防御机制;


手机验证码短信接口主动防御机制被触发后,将会自动设置合适的安全级别,防御恶意请求。例如非法请求仅能获取3次验证码,如超过3次,将会被列入临时保护黑名单。



 

商务办公自动化

企业集成


关于巨象| 短信群发| 彩信群发| 短信群发软件| 资费标准| 付款方式| 代理加盟| 人才招聘| 联系我们

版权所有 广州巨象计算机科技发展有限公司 粤ICP备05007238号
服务电话:020-85272100 传真:020-85272100
总部地址:广州市天河区黄埔大道西876号跑马地凯怡阁29层
Copyright © 2004-2016 Hechina.com.All rights reserved.
短信群发 彩信群发 短信群发软件 巨象科技短信群发,彩信群发,短信群发软件,广州巨象计算机科技发展有限公司是一家致力于为企业提供互联网、通讯技术应用服务和解决方案的高科技公司,具有良好的国内外资金和技术背景;是国内最早投入研发企业短信应用和企业网络电视台系统的公司之一,业已成为广东地区最大的移动商务产品与解决方案的提供商和优秀的电讯服务品牌企业。其主要业务有:短信群发平台软件-巨象企信通,微信营销平台-巨象微信通,网络传真群发平台-Fax66网络传真,网络视频系统-巨象网视