短信接口防刷攻略

最新推荐文章于 2024-07-31 11:48:25 发布

青年卫大师

最新推荐文章于 2024-07-31 11:48:25 发布

阅读量2.6k

点赞数

文章标签：短信验证码安全

本文链接：https://blog.csdn.net/w2556089/article/details/78326482

版权

目前大部门互联网公司都会用到短信接口，但是目前短信端口很容易被不法分子拿去当作短信轰炸机，造成公司和个人的损失。

针对如此，我们会采用一系列安全措施来限制别人来刷。

1、限制手机号的发送频率

缺点：可以被利用同时发给不同手机

2、现在请求端的ip访问频率

缺点：可以被动态代理服务器攻击

3、验证码

优点：此方法基本上可以防止短信接口被刷，目前也有政府，银行等项目采用此方法

确定：用户体验不好，每次都要输入验证码

4、js加密，对手机号等信息进行加密，前端加密传入后端进行相同算法验证

优点：对用户体验友好

此方法的安全性取决于js加密算法的破解难道，js属于客户端语言，存在破解的可能性，增加而已攻击者的破解难道

5、两次请求，此方法在页面打开时先从短信接口获取一个密码，在调用短信接口的时候，带上此参数

此方法可以和方法4一起使用，安全级别相对于高于4，但是也存在破解性

总结：在默认安全界别，我们可以采用4 5 方法，然后在短信接口可以加入报警机制，触发报警我们可以将安全级别提升为3

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

青年卫大师

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
2
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

会员注册短信接口被攻击，如何防刷？

GUYSGO的专栏

05-26

997

网站或者APP注册页面，因为获取短信验证码的功能是暴露在外的，短信接口有可能被短信轰炸机攻击，那短信验证码防刷策略如何做呢？首先我们来了解一下短信接口攻击：什么是短信接口攻击？个别用户出于不正当目的，自己或者委托第三方使用 “短信接口轰炸软件”，短时间内在各应用页面（主要是注册页面）模拟输入被攻击者的手机号码，批量、循环提交请求，给一些手机号码无限发送各种无效短信（如短信验证码）的行为，导致无辜的手机用户被骚扰。 短信接口攻击带来的影响 1、用户在无任何操作情况下，莫名收到大量短信验证码，对用户

springboot 接口防刷

weixin_43931625的博客

08-26

573

springboot 接口防刷

2 条评论您还未登录，请先登录后发表或查看评论

java短信策略，防止短信盗刷,阿里云短信通道，短信通道安全策略，防短信轰炸

01-15

短信策略防盗刷，防短信轰炸。短信通道防盗刷方案： 1.使用安全图形验证码，增加识别难度，防止通过自动化工具进行攻击请求； 2.每日限制每个手机号的发送次数； 3.单Ip的请求次数限制，防止攻击者对服务器进行大量无效请求； 4.单用户动态短信请求间隔时长限制； 5.增加IP黑名单库、白名单库；本仓库已实现2、3、4、5方案功能，并多年生产环境稳定运行，欢迎大家借鉴、参考和指正评论。软件架构：springboot、redis、json、NewUtils、阿里云短信通道。

记一次第三方验证码踩过的坑

Dennis_ukagaka的博客

08-06

2122

1. 接手了一个注册验证的一个坑。起因：一个小时内同一个手机号突然发送了8000多条短信。原因：测试代码发现确实可以无限发送短信，是因为后台没有限制同一个手机号发送次数的限制。解决方案：联系短信提供商，限制同一个手机号发送次数，并且在后台添加同一个手机号发送的限制操作：首先在数据库里的记录发送短信的表里增加一个字段用来记录同一个手机号发送的条数。发送短信前，首先查看有没有短信发送记录，如果没有，

短信接口被恶意盗刷

最新发布

m0_70754056的博客

07-31

452

isRequestAllowed方法接收 IP 地址作为参数，通过incr方法增加对应 IP 的请求计数，如果是首次请求（计数为 1），则设置该键的过期时间为指定的时间窗口。3. 请求次数限制：利用redis的incrby实现计数，增加ip次数限制和总的请求次数限制，例如限制同一ip在指定时间段内（如5分钟）的请求次数上限，以及设置整个系统在特定时间段内（如5分钟）的总请求量阈值；7. 周期性修改接口：随着项目迭代升级，随机变更重点接口的请求地址，前后端同步更新，降低接口被长期攻击的风险。

短信接口防盗刷解决方案

Java知识图谱的博客

04-12

3768

一、序言在Web开发中，总有一些接口需要暴露在用户认证前访问，短信发送接口特别是短信验证码注册接口便是其中典型的一类，这类接口具有如下特点：流量在用户认证之前流量在用户认证之前，意味着无法获取用户ID等唯一标识符信息对流量限流手机号未知手机号未知意味着无法对待发送短信的手机号做精准检测，判断是否是合法的手机号。通过正则表达式判断手机号连号过多，容易滋生短信盗刷。本文将重点聚焦接口的防盗刷实践。二、盗刷流量在解决防盗刷之前先认识盗刷流量的特点和防盗刷的目标。（一）防盗刷的目标 1、减

短信接口安全防护策略

写个代码扯个闲淡

08-21

1769

1. 限制同设备标识，同IP，同手机号的发送次数增加短信接口的流控，通过请求获取用户设备标识，IP，及手机号的信息，用户这三个属性有一个相同，则认为是同一客户端。针对同一客户端，限制每个客户端单位时间内调用短信接口的次数，如一分钟调用一次。 2. 设置设备标识，IP，手机号的黑名单单位时间内同一设备标识，IP或者手机号访问短信接口的次数大于某一阈值时，将该标识加入到黑名单列表中。对于已被

如何防止短信接口被恶意调用攻击？

2401_84208172的博客

05-21

1058

最近遇到一个关于防止短信验证码被刷的问题，相信很多朋友也遭遇过这个被刷短信的问题。因此，就“防止验证码短信被盗刷”作一个总结和分享。黑客&网络安全如何学习。

短信接口防盗刷

weixin_61997998的博客

04-10

245

短信防盗刷,关键技术解析.

如何防止短信接口被刷？

写给自己的博客

08-04

2533

短信验证码作为重要的身份验证工具，因其操作简便、安全性高、时效性强等优点已被开发人员广泛使用。但因其获取便利、限制较少容易被不法分子利用进行短信轰炸，恶意刷掉大量短信费用，给公司或个人造成大量的金钱损失，造成这种情况原因主要是在产品实际设计过程中，有些产品人员因为对技术实现不太了解，防范意识薄弱，简单或直接忽略对短信验证码进行限制，这才造成短信接口恶意被不法分子利用。在介绍防刷策略前我们需要了解下常见的刷短信验证的行为。 1.以攻击手机号为目的刷短信验证码 这类攻击目标主要是攻击者借助web网.

接口防刷解决思路

qq_41177361的博客

03-05

2164

场景和原因： 1.在项目中后台只需要提供一套API接口，就可以接入安卓、小程序、IOS、web等多个应用程序，这样可以节约开发成本。但是一个后台接入这么多应用程序的http请求，必然导致后端的压力非常大。对于这些情况我们需要对用户的访问进行限流访问，我们可以依次对Nginx、tomcat、接口进行限流。 2.对于一些请求进行过滤和拦截是非常有必要的，能够有效地减轻后台的压力。 3.考虑线上环境 ...

防止恶意刷新页面的java实现

08-10

这个讲述了两种使用软件方式进行阻止恶意刷新。提供了一些核心的代码，仅供参考。提示：是收集技术网站上的资料整理的。

短信接口防止重复刷

qq_27878777的博客

03-22

183

【代码】短信接口防止重复刷。

【Springboot之切面编程】注解实现接口防刷

rentian1的博客

01-01

1310

来源：https://www.jianshu.com/p/697f1c5eaa3f?utm_campaign=haruki&utm_content=note&utm_medium=reader_share&utm_source=qq 本文介绍一种极简洁、灵活通用接口防刷实现方式、通过在需要防刷的方法加上@Prevent 注解即可实现短信防刷；使用方式大致如下： ...

防刷发送短信验证码接口的五种简单好用方法绝对够用

itScholar001的博客

05-29

2286

1.前端调用发送短信接口前，通过密钥（1234abcd）与加密算法，将miyao1234+（16位英文字母与数字字符串）例如miyao1234wgly1noKSXg47Mn6 进行加密。5.如果解密后包含约定字符串miyao1234，则通过校验，此时注意⚠️，需要将此校验码存入redis，下次如果有相同校验码则提示重复。前端增加图形验证码，点击发送按钮后增加60s倒计时，60s后才可以再次点击。3.后端接收到后对校验码进行解密，如果解密失败，提示失败。2.前端调用发送短信接口时，将校验码传递给后端。

短信接口安全防御策略

weixin_33755649的博客

05-13

167

在知乎上看到的一篇文章，写的挺清楚的作者：luosimao.com链接：https://zhuanlan.zhihu.com/p/20879468来源：知乎著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。一、什么是短信轰炸（短信接口被刷）短信轰炸一般基于 WEB 方式(基于客户端方式的原理与之类似)，由两个模块组成，包括:一个前端 Web 网页，提供输入被...

请给你的短信验证码接口加上SSL双向验证

dengyou6178的博客

04-24

219

序言去年年底闲来几天，有位同事专门在网上找一些注册型的app和网站，研究其短信接口是否安全，半天下来找到30来家，一些短信接口由于分析难度原因，没有继续深入，但差不多挖掘到20来个，可以肆意被调用，虽然不能控制短信内容，但可以被恶意消耗，或者用于狂发信息给那些不喜欢的人。漏洞分析短信接收方无法约束由于是注册型接口，接收方往往都是平台内不存在的手机号，所以无法约束。接口请求...

如何在不影响正常用户使用的情况下防止黑客使用不同的ip刷短信接口，要求给出最优方案...

weixin_42610671的博客

01-15

219

为了防止黑客使用不同的 IP 刷短信接口，可以采用以下最优方案： IP 限流：对于特定的 IP 地址设置请求次数限制，超过限制的 IP 将被禁止访问。添加验证码：在短信接口中增加验证码机制，黑客需要通过验证码才能发送短信。使用第三方接口限制：借助第三方黑名单服务，将黑客 IP 地址加入黑名单。使用反爬虫技术：使用反爬虫技术，如 user-agent 验证和验证码等，来防止黑客爬取短信...

如何防止刷短信验证码？

ldm54466183的博客

02-19

3243

使用redis与前端相结合，实现验证码防刷。

短信验证码 api 防刷

07-27

您好！对于短信验证码的防刷问题，可以通过以下方法来实现： 1. 验证码有效期限制：设置短信验证码的有效期限，一般为几分钟或十几分钟，超过有效期的验证码将不再被接受。 2. 图形验证码验证：在用户请求短信验证码之前，可以要求用户进行图形验证码的验证，增加验证环节，防止恶意请求。 3. 手机号码限制：限制同一个手机号码在一定时间内只能请求发送一次验证码，避免频繁发送。 4. IP地址限制：限制同一个IP地址在一定时间内只能请求发送一次验证码，避免通过同一IP地址进行大量请求。 5. 接口访问频率限制：对于接口的调用频率进行限制，防止攻击者通过高频率的请求进行刷取验证码。 6. 用户行为分析：通过分析用户的行为模式，例如请求频率、请求时间间隔等，来判断是否为恶意行为，并进行相应的限制。 7. 设备指纹识别：识别用户设备的唯一标识，如IMEI、MAC地址等，来判断是否为同一设备进行的请求，并进行相应的限制。以上是一些常见的防刷措施，可以根据具体需求和场景选择适合的方法来保护短信验证码的安全性。