新聞?wù)?/p>

防止短信驗(yàn)證碼接口惡意攻擊的方法及防范方法

時(shí)間:2017-02-28

短信接口驗(yàn)證碼的特征：24小時(shí)發(fā)送，到達(dá)速度快，專門的驗(yàn)證碼通道發(fā)送。短信接口驗(yàn)證碼廣泛用于電商、手機(jī)APP、網(wǎng)上銀行、社交論壇等互聯(lián)網(wǎng)行業(yè)，通過短信驗(yàn)證碼進(jìn)行身份二次驗(yàn)證，確保用戶身份真實(shí)有效。

因?yàn)槎绦膨?yàn)證碼是在輸入手機(jī)號(hào)碼后進(jìn)行短信發(fā)送，到達(dá)速度快，所以有一些不法分子利用短信驗(yàn)證碼接口這個(gè)特點(diǎn)進(jìn)行惡意攻擊。

　　下面我們看一下短信驗(yàn)證碼接口是怎么被惡意攻擊的，短信驗(yàn)證碼接口因?yàn)椴恍枰^多的驗(yàn)證信息，所以會(huì)用來被用于短信轟炸。

短信轟炸通常是基于WEB方式(基于客戶端方式的原理與之類似)，由兩個(gè)模塊組成，包括:一個(gè)前端Web網(wǎng)頁，提供輸入被攻擊者手機(jī)號(hào)碼的表單；一個(gè)后臺(tái)攻擊頁面(如PHP)，利用從各個(gè)網(wǎng)站上找到的動(dòng)態(tài)短信URL和前端輸入的被攻擊者手機(jī)號(hào)碼，發(fā)送HTTP請(qǐng)求，每次請(qǐng)求給用戶發(fā)送一個(gè)動(dòng)態(tài)短信。被攻擊者大量接收非自身請(qǐng)求的短信，造成無法正常使用移動(dòng)運(yùn)營商業(yè)務(wù)。

。

　　容易遭惡意攻擊的場景或網(wǎng)站

　　1、網(wǎng)絡(luò)在線投票站（需要填寫手機(jī)號(hào)碼進(jìn)行校驗(yàn)）

　　2、用戶在線注冊頁面（包含手機(jī)短信驗(yàn)證功能）

　　3、手機(jī)短信動(dòng)態(tài)密碼登錄

　　1，惡意注冊，原因是沒有進(jìn)行驗(yàn)證，提高注冊機(jī)制。

首先做好注冊驗(yàn)證注冊頁面最好有注冊頁面最好有復(fù)雜的驗(yàn)證碼，要不斷變化，讓識(shí)別工具也很難識(shí)別的驗(yàn)證碼，就能防止一些工具惡意注冊。

比如：

1）gif驗(yàn)證碼圖片，gif驗(yàn)證碼圖片輸出答案

　　2）對(duì)驗(yàn)證碼實(shí)行問題填寫

　　3）使用驗(yàn)證碼特色字體包。使用特色的字體增加注冊機(jī)文字識(shí)別難度

　　4）驗(yàn)證碼使用漢字模式