社交是时代的主题。大众的生活需求正在改变。各种垂直社交APP接连不断。陌生社交的成功使社交网络服务APP燃烧,面对庞大的网络市场,社交产品几乎成为所有网民日常生活中不可缺少的应用程序。
网站或者APP注册页面,因为获取手机短信验证码的功能是暴露在外的,有可能会遇到短信接口被刷的情况,最严重的当属受到短信轰炸机的攻击,最严重的情况当属遭到自动化软件的攻击;那短信验证码防刷策略如何做呢?首先我们来了解一下短信接口攻击:
短信接口攻击带来的影响
1、用户在无任何操作情况下,莫名收到大量短信验证码,对用户造成严重的骚扰;
2、使用短信验证码接口的用户,会被消耗大量的短信,同时,短信是以短信验证码接口客户的名义发出的,会对企业的品牌形象造成负面影响;
3、大量骚扰短信的发送,对短信通道及短信平台服务商的稳定安全运行造成极恶劣的影响。
如何有效防范短信接口攻击?
基于短信接口攻击的一些特点,我们有必要采用适当的短信验证码防刷策略,来降低甚至杜绝短信接口攻击软件对我们的影响,短信接口防御一般有以下一些措施:
1、短信平台系统拦截
平台会实时侦测对客户通过接口提交的每条短信,对恶意发送进行有效识别与拦截,能杜绝大多数的恶意发送。
2、对账户进行短信限流
短信接口支持多种方式的限流机制,用户可以根据自己的业务需要及特点,设置每天的最大发送量、每号码每天、每号码每分钟的发送量,将短信被刷的风险降低在可控范围内。
如账户短信达到当日最大发送量时,互亿无线短信平台会自动通过短信或微信通知您,您可以登录平台对发送量进行调整。
3、在用户注册页面增加人机验证
短信轰炸、短信攻击一般是采用软件进行自动攻击,在逻辑上,对用户先进性人机校验,校验通过之后才允许用户点击获取验证码按钮;人机校验的方式一般有以下几种:
a) 图形验证码:加上足够复杂的图形验证码可有效防止恶意工具的自动化调用,即当用户进行“短信验证码发送” 操作前, 弹出图形验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效解决被利用实施短 信轰炸攻击的问题。
b) 第三方人机校验:相较图形验证码,第三方人机校验服务的安全性更高,体验更好,不过一般都是要付费使用。
4、 在注册页面增加请求限制
a)对单个IP每天的请求次数做限制,如一天10次,超过即拒绝请求;
b)对同一号码的请求时间进行限制,单一用户请求验证码之后,需要间隔60-120秒才能再次请求;且同一号码每天最多只能请求5-10次;
c)将获取验证码功能放在表单(如填写用户名、密码等)和人机验证之后,即用户通过了表单校验和人机验证之后,才能点击获取验证码按钮。
短信验证码接口采用了以上一些防护措施之后,能防范绝大多数的短信接口攻击行为,大大节约您的短信成本;当然,这些策略需要在项目开发的时候就要考虑并配置。
代码示例
<%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%>
<%
'接口类型:互亿无线触发短信接口,支持发送验证码短信、订单通知短信等。
'账户注册:请通过该地址开通账户http://user.ihuyi.com/?b5kwA
'注意事项:
'(1)调试期间,请使用用系统默认的短信内容:您的验证码是:【变量】。请不要把验证码泄露给其他人。
'(2)请使用 APIID 及 APIKEY来调用接口,可在会员中心获取;
'(3)该代码仅供接入互亿无线短信接口参考使用,客户可根据实际需要自行编写;
Response.Charset = "gb2312&