如何解决短信验证码接口被攻击的问题？

Posted 2023-05-08

广东第五大道到达率怎么样

普通自开发

发送时间间隔

设置同一个号码重复发送的时间间隔，一般设置为60-120秒。该手段可以在一定程度上防止短信接口被恶意攻击，且对用户体验没有什么伤害。但是不能防止黑客更换手机号进行攻击，防护等级较低。

获取次数限制

限制某个手机号在某个时间段内获取短信验证码次数的上限。采用这种策略时在产品设计过程中，有几点需要注意。

定义上限值。根据业务真实的情况，甚至需要考虑到将来业务的发展定一个合适的上限值，避免因用户无法收到短信验证码而带来的投诉。

定义锁定时间段。可以是24小时，可以是12小时、6小时。需要根据业务情况进行定义。

IP限制

设置单个IP地址某个时间段内最大的发送量。该手段可很好的预防单一IP地址的攻击，但是也有两个很明显的缺点：

对于经常变更IP地址进行攻击的黑客，该手段没有很好的效果。

IP的限制经常会造成误伤。如在一些使用统一无线网的场所，很多用户连接着同一个无线网，这个IP地址就容易很快达到上限，从而造成连接该无线网的用户都无法正常的收到验证码。

     图形验证码    

在发送短信验证码之前，必须通过通过图形验证码的校验。这种手段相对来说可以防止某些攻击，因此也是目前非常普遍的短信防攻击机制。但是在使用过程中涉及到用户体验问题，不能简单粗暴地套用这一策略。以下几个点值得仔细考虑：

是不是每次获取短信验证码之前都需要用户输入图形验证码，一般来说这样做会极大地影响用户体验，虽然是相对安全，但是用户用着不爽了。

可以给一个安全范围。结合手机号限制、IP限制来考虑，比如同一个手机号当天第3次获取短信验证码的时候，出现图形验证码；比如同一个IP地址当天获取验证码次数超过100次后，出现图形验证码。

加密限制

通过对传向服务器各项参数进行加密，到了服务器再进行解密，同时用token作为唯一性识别验证，在后端对token进行验证，验证通过才能正常将短信发送。该手段可以在保证用户体验的情况下，可以有效防止某些攻击，因此也是目前比较常见的短信防攻击机制。同时也有很明显的缺点：

使用的加解密算法可能会被破解，需要考虑使用破解难度较大的加解密算法。

在算法不被破解的情况下可以有效防止报文攻击，但是无法防止浏览器模拟机式攻击。

以上是几种常见的短信风控策略，在具体的产品设计过程中，可以综合使用。

使用第三方防御

短信防火墙

为了在产品安全和优秀的用户体验之间寻找一个极佳的平衡。新昕科技的产品研发团队结合各种风控策略的优点研发出了一款短信防火墙。 从以下几个方面概括一下：

为保障优秀的用户体验，摈弃了目前影响用户体验最为严重的图形验证码等人机校验程序，做到无感验证。从而达到完美的用户体验。

结合用户的手机号码 、IP地址 、设备指纹三个唯一身份标识设置不同维度的风控策略。将各个维度之间相互配合，达到一个最为合理的风控限制指标。

根据业务情况自动伸缩风控限制，在检测处受攻击时自动加大风控限制力度，在正常是再归回到正常风控标准。

考虑到存在新老客户的区别，特意增加老客户VIP通道，在受到攻击时，风控指标紧缩的情况下，保证老客户通道畅通无阻，从而降低误伤率。

通过以上策略可以有防止黑客通过随意切换手机号及IP地址的方式可以刷取短信。同时加入模拟器检测，以及参数加密等风控策略，有效防止黑客攻击。

可通过风控防火墙控制台，实时观测风控结果，在受到攻击时达到第一时间预警的效果。

如需了解更多请关注新昕科技官网：newxtc.com



请点击输入图片描述



请点击输入图片描述

短信防火墙

参考技术A 可以设置网页验证码输入后再点击发短信,还有就是接口后台设置一个手机号在一定的时间规定收到短信的次数。 参考技术B 需要短信平台的话可以测试巴卜
短信平台这种还是要亲自测试看看才能更加深入地了解平台的一些版功能的，以及是否符合你的要求，能够达成你们业务的要求。很多平台权都有提供免费测试的机会，可以多测试几家对比看看。 参考技术C 可以考虑结合语音验证码使用，现在网站用的就是广东第五大道的本回答被提问者采纳 参考技术D 1、增加图形验证机制 ——将图形校验码和手机验证码进行绑定，即当用户进行“获取动态短信” 操作前，弹出图片验证码，要求用户输入验证码后，服务器端再发送动态短信到用户手机上，该方法可有效解决短信轰炸问题。
由于攻击涉及到不同的业务场景，我们可以做不同的处理，针对注册页面增加图形验证码机制，针对忘记密码页面我们采取分步校验，先校验用户名密码并得到成功回执后才进行短信验证码的发送。
2、设置短信间隔时间 ——设置同一号码重复发送的时间间隔，一般设置为60-120秒。
3、发送量限定 ——设置每个手机号码每天的最大发送量。
4、IP限定 ——根据自己企业的业务特点，设置每天IP最大发送数量。
5、流程限定 ——将用户手机短信验证码和密码设置成两个步骤，用户在注册成功用户名密码后，下一步才进行手机短信验证。
6、触发条件 ——用户必须填写好所有注册信息才可进行触发，注册资料不完整无法发送验证码。

短信猫验证码接收解决方案（提供三款接口应用软件）

短信猫验证码方案介绍：

 

两个短信猫验证的应用场景：

1、网站验证码用户登录

目前在网络上各种网站、应用、平台登录都需要用到手机验证码，直接给用户手机发送验证码后才能进行登录等操作及大地提高了用户的安全性及降低了恶意注册的可能性。

2、网络营销账号注册

我们注册各类网站、APP、软件时均需要与用户手机号绑定才能使用相应的网站和软件功能，有这样一群以出售账号即通过专业的短信猫设备可大批量接收验证码的方式去注册海量账号从而提供给那些网络营销公司或个人，他们可拿来做营销宣传与推广，一个账号的价值不菲。

 

需要用到的硬件设施：短信猫设备

 

多台短信猫池组合，通过一台电脑去管理需要一套支持集成的接口软件，从而实现短信收发与网站、应用平台后台的集成对接。在短信猫收发的二次开发应用领域，有非常成熟丰富的第三方短信猫验证码接口软件产品：比如：酷卡、新酷卡与叮叮摩卡

 

酷卡软件提供的对接接口说明 http://www.wavecomcn.com/sdk/65.html

 

叮叮摩卡软件提供的对接接口说明  http://www.wavecomcn.com/sdk/79.html

 

 通过第三方软件公司提供的接口可方便地对短信猫进行接收短信、读取短信、发送短信等操作，可与网站、软件等后台做功能集成和对接，而不用做复杂的短信猫硬件开发即可轻松快速地实现大批量短信猫设备的接入！