短信验证码接口风险分析

已于 2022-09-29 15:49:11 修改
阅读量754 收藏
点赞数
分类专栏: 数据安全 网络安全 文章标签: 前端
于 2022-09-29 15:29:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WangYouJin321/article/details/127107850
版权

不论什么场景验证、鉴权功能不能放在前端

1. 手机号合法性验证
    a.民用手机号
    b.登录、注册、密码找回等关键接口的短信验证码发送,
      不能在接口返回时暴露过多信息,如提示:此手机号未注册。避免扫号、枚举
2. 单手机号单位时间内短信验证服务的调用次数限制
3. 短信验证码的生效时间及验证次数限制;验证成功后的及时清理
4. 验证短信验证码(图片验证码)时不检查用户名
5. 验证码为空或静态,开发程序时设置的万能密码,方便测试,有时候会忘记删除
6. 验证码可控,可自行选择验证码
    不论是短信验证码还是图片验证码,后端的返回需要根据当前用户生成一个对应验证码的动态映射id,
    不能是静态的。
7. 请求验证码时,返回请求直接将验证码返回不需要查看短信

8.短信验证服务接口滥用或恶意调用(需要建立监测规则,甚至长线分析)

小金子的夏天
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
python读取短信验证码_我用Python给你发了个短信验证码,你也来试试
weixin_33855603的博客
01-13 1523
点击上方毛利学python,选择置顶或星标第一时间送达Python 技术干货!在互联网时代,为了保证操作的安全性,我们几乎所有的登录、注册等操作都需要用到短信验证码,一是为了防止自己的平台被机器频繁访问,加大服务压力,二是避免非本人操作带来的风险等等。验证码的服务平台有很多,他们的运行机制也都大同小异。本次分享一个对新手开发非常快捷的短信验证码方式。一、准备工作我们此次发送短信验证码需要借助第三方...
方维Fangwei_P2P_V3.6短信接口短信插件
07-22
此外,若发生异常操作或安全风险,系统也会通过短信接口发送预警信息,保障用户的资金安全。 为了实现这些功能,短信插件通常需要具备以下关键特性: 1. 稳定性:确保在高并发情况下也能正常工作,不丢失或延误短信...
短信接口被恶意调用,瞬间损失数万元,怎么解决?
lxw1844912514的博客
03-08 1008
一、 事件简述 这是一件发生在前段时间的事情,当时的情况是这样的: 一个新的功能模块上线之后,出现短信接口被恶意访问调用的情况,请求数量很大,而且通过查看短信服务商控制台也发现,...
这45个账号安全风险,你check了吗?
顶峰
03-10 580
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。点击此处即可获取282G网络安全学习资料同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。点击此处即可无偿获取以上资料。
获取短信验证码接口存在短信资源消耗漏洞
最新发布
weixin_45979191的博客
07-16 416
获取短信验证码接口存在短信资源消耗漏洞
java短信验证码获取次数限制实例
weixin_33971977的博客
01-05 2781
现在不管什么项目,用到短信验证功能,都会在程序上设计一个短信验证码获取次数限制,这样主要是避免短信验证码接口被刷。 前一段正好做一个项目的用户短信验证码登录功能,就研究了以下,下面贴出来分享一下。 这里涉及到的短信接口,用的第三方短信接口—动力思维思维乐信的(http://www.lx598.com/),如果想了解短信接口接入,可以到他...
接口安全之短信验证(防恶意被刷)
cominglately的博客
06-15 3808
参考文档:    http://blog.csdn.net/u011250882/article/details/46778111 a.  限制短信发送间隔  eg:60s  1次 b.  限制ip    eg: 1天最多6次 c.  限制手机号 eg:  1天最多6次 d. 流程限制 用户名密码和短信验证分成两部  必须在第一步成功之后 再执行第二部分 e. 加入图形码验证 防
企业信息机短信发送接口
09-26
【企业信息机短信发送接口】是企业用于批量发送短信的一种技术接口,通常被集成到企业的信息系统或应用程序中,用于客户服务、营销推广、验证码发送等多种场景。短信接口是通信技术与软件开发结合的重要部分,它提供...
明御运维审计与风险控制系统设置短信发送
02-11
此外,短信验证码的有效期和使用次数也应有限制,以增强系统安全。 综上所述,明御运维审计与风险控制系统通过短信发送功能,结合API接口和模板设计,实现了高效、安全的通知机制,提升了运维管理的效率和安全性。...
实用的asp短信发送代码.rar
03-26
- 短信验证码的安全性:防止恶意用户频繁请求短信验证码,可以设置发送间隔、限制请求次数等。 - API密钥保护:不应在客户端代码中硬编码API密钥,应将其存储在服务器端,以减少泄露风险。 6. 故障排查: - 发送...
nxt-sms-route.zip
02-07
当一个短信请求到达百家短信接口路由网关时,系统首先会通过路由策略模块分析请求的特性,如短信类型(验证码、通知、营销等)、接收方信息、发送时间等。然后,根据预设的优先级和实时性能数据,选择最合适的短信...
短信接口被恶意调用,瞬间损失两万,怎么解决?
weixin_46641057的博客
02-03 983
前两天的中午像往常一样热,太阳不知疲倦的在天空燃烧,热跑了云彩和鸟儿,马上就要点燃空气和我的脑神经。为我和电脑降温的,是我简陋的书桌上的小电扇,没有它的话,键盘太热,我可能就要写不下去代码了。 正在此时,旁边的手机嗡嗡的震了两声,对于手机从来不敢开铃声的人来说,这个震动的声音实在太熟悉了,不用说,应该是广告短信,或者有人加我微信好友了。因为短信我基本上从来不看,微信消息不会有提示,只有加好友才有,由于最近有不少朋友看到我写的文章,所以每天加我好友的还是不少的,我都是找空闲时间统一处理。所以,我还是继续写我
Http状态码大全(404、500、505等)
WangYouJin321的博客
03-17 8216
参考连接:HTTP 返回码详解_程序员小灰的博客-CSDN博客_http返回码 1xx(临时响应) 表示临时响应并需要请求者继续执行操作的状态代码。 100(继续)请求者应当继续提出请求。 服务器返回此代码表示已收到请求的第一部分,正在等待其余部分。 101(切换协议)请求者已要求服务器切换协议,服务器已确认并准备切换。 2xx (成功) 表示成功处理了请求的状态代码。 200(成功)服务器已成功处理了请求。通常,这表示服务器提供了请求的网页。 201(已创建).
DNS隧道检测特征
WangYouJin321的博客
03-07 6853
参考连接: DNS隧道检测特征总结 - 知乎 基于DNS隐蔽信道的攻击与检测 - FreeBuf网络安全行业门户 1.DNS检测特征 BotDAD中统计分析了15种DNS的行为特征,如下: 序号 DNS特征 描述 p1 每小时DNS请求的数量 受感染的僵尸主机每小时的请求数量往往高于正常主机。 p2 每小时不同的DNS请求数 感染DGA恶意软件的主机往往比普通主机具有更多不同的请求。 p3 单个域的最大请求数 帮助检测DNS隧道,敏感信.
【转】钓鱼邮件攻击检测
WangYouJin321的博客
03-07 6705
参考连接: 钓鱼邮件的检测 - 简书 钓鱼邮件因此成为APT攻击的重要手法之一,隐藏在电子邮件中的附件中或者url链接中,在一定条件下激活,进行破坏和传播,轻则占用资源、破坏计算机系统部分功能,重则导致重要数据丢失、窃取机密信息,带来巨大的经济损失。 1. 有效内容提取 拿到一封可疑钓鱼邮件,获取邮件里面的数据,并对数据有效整理和提取 发件人邮箱 发件人IP地址 收件人邮箱 收件人IP地址 邮件附件名称 解析邮件头信息 内容中的URL链接 。。。。。。 2. 信誉度分析 在进行可.
【转】hosts碰撞
WangYouJin321的博客
10-12 4584
当数据包的host头替换为某个域名时在访问该反代服务器的ip, 如果nginx/Apache的反向代理的host配置没删除,就会把请求转发到内网对应的host业务服务器上, 接着返回该业务的信息, 实现本该隐藏的业务访问。简单点就是: 当数据包的host头替换为某个域名时在访问时该反代服务器的ip, 如果页面发生了变化,返回了对应的资源, 即可判断为存在host碰撞。这个点的问题在于,现在很多较大的公司比较流行,资产统一把控,也就是自己所有的资产全部收缩进内网。
信息隐藏原理简介
WangYouJin321的博客
07-02 4369
参考连接:https://blog.csdn.net/jiangxinyu/article/details/1444388 信息隐藏 信息隐藏模型 信息隐藏 (Information Hiding)不同于传统的密码学技术。密码技术主要是研究如何将机密信息进行特殊的编码,以形成不可识别的密码形式 (密文 )进行传递;而信息隐藏则主要研究如何将某一机密信息秘密隐藏于另一公开的信息中,然后通过公开信息的传输来传递机密信息。对加密通信而言,可能的监测者或非法拦截者可通过截取密文,并对其进行破译,或将密文进行破
短信验证码接口详览与开发指南
短信验证码接口文档详细介绍了北京创世华信科技有限公司开发的短信平台服务,该文档于2014年6月18日完成。文档涵盖了多个方面的接口操作,旨在帮助开发者在Java、PHP、.NET(C#)等语言环境中轻松集成短信验证功能。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小金子的夏天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值