漏洞解决方案-短信验证码
漏洞解决方案-短信验证码
防护方案
-
IP限定——根据自己的业务特点,设置每个IP每天的最大发送量(防止攻击者对服务器进行大量无效请求(在图片验证码未破解的情况下,自动化工具形成错误请求,增加服务器负担)
-
短信发送间隔设置——设置同一号码重复发送的时间间隔,一般设置为60-120秒(防止对单个用户形成手工攻击;防止图片验证码失效后对用户形成大量攻击。)
-
手机号码限定——根据业务特点,设置每个手机号码每天的最大发送量
-
流程限定——将手机短信验证和用户名密码设置分成两个步骤,用户在设置成功用户名密码后,下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验。
-
绑定图型校验码——将图形校验码和手机验证码进行绑定,这样能比较有效的防止软件恶意注册(防止通过自动化工具进行攻击请求)
生成过程安全:图片验证码必须在服务器端进行产生与校验; 使用过程安全:单次有效,且以用户的验证请求为准;
验证码自身安全:不易被识别工具识别,能有效防止暴力破解;
关于图形验证码的解决方案
关注公众号,一起分享实用安全技术,关注安全最新事件,记录工作常见问题,吐槽生活真心操蛋。