欢迎访问济南千寻信息科技有限公司官方网站!
营销短信

全国服务热线:

400-6577-190
短信验证码接口攻击及应对方法
发布日期:2019-04-03 09:35:47 来源: 点击:
       如今,很多企业选择使用验证码短信的方式来对用户的登录或支付等操作进行验证,这种方式既快捷又方便,给人们的生活带来了便利,也有利于提高用户对企业产品的体验度和黏着度,但是在信息高度透明化的今天,这种方式是否安全呢?是否存在信息泄露的危险呢?
营销短信
       确实,短信验证码接口可能会遭受到一种互联网恶意攻击——“短信轰炸”。这种攻击通过循环利用某些业务中的无需注册或验证即可向任意手机号发送短信验证码的正常业务需求(比如用户注册激活、登录、密码重置等),向固定手机号不停发送大量的验证短信,这种恶意行为不但对用户造成了困扰,相关企业也要因此承担不小的经济和名誉损失。下面千寻云通信对短信轰炸的原理进行简单介绍:
       短信轰炸一般基于 WEB 方式,由两个模块组成,包括:一个前端Web页面,提供输入被攻击者手机号码的输入窗口;一个后台攻击页面,利用从互联网各网站上找到的短信验证码 URL ,匹配前端输入的被攻击者手机号码,同时发送 HTTP 请求,调用业务服务器短信发送的接口,请求给用户发送一条短信验证码,通过不停的发送请求来实施“短信轰炸”攻击。
       说到底,短信轰炸形成的原因是非本人授权的动态短信获取,如用户注册时的手机验证短信,在用户获取验证码短信前与系统并没有建立任何业务关联。因此,在这种情况下,我们需要进一步严格限制验证码短信的发送来保证业务使用的安全性。我们可以综合采用:IP请求次数限制、单用户请求间隔时长限制、增加二次验证(图文验证码)、关闭Web端发送短信权限(因为验证码基本上应该是从短信验证码接口提交)等等措施,限制恶意请求的连续申请,从而保障验证码短信接口的安全性。
QQ:3276222980    QQ:3048566068