短信接口怎么对接最安全?如何防止盗刷?

最新推荐文章于 2024-07-31 11:48:25 发布
最新推荐文章于 2024-07-31 11:48:25 发布
阅读量2.7k 收藏 3
点赞数 2
分类专栏: 短信接口 文章标签: 短信接口 短信接口盗刷
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31949853/article/details/84964999
版权

大多系统在做注册、登录、找回密码、修改密码等功能时,往往需要发送短信验证码来确定当前操作者即为该账号的所属者,来保障账号的安全。

发送一条短信费用大概在0.03-0.04之间,对于正常的使用,勉强是可以接受的。

如果控制不好,会被滥用,花钱不说,对用户造成不好的体验。

如何防止短信接口被滥用、盗用?

1、前端增加时间限制,如:js控制60秒后才能继续发送(但不用等60秒,刷新后又能获取)

2、前端用cookie,把剩余限制的时间记录到cookie内,解决刷新剩余时间消失的问题(但初级程序员会通过f12,看到请求事件,直接在浏览器内访问短信接口地址)

3、采用post方式,解决浏览器内直接访问的问题(但仍能通过接口调用工具如postman进行调用)

4、通过后台记录手机号发送验证码的记录,限制发送时间间隔,解决通过工具调用(但程序员可以写脚本每隔1分钟请求一次)

5、通过限制每个手机号每天的发送次数,可以解决4的问题(但程序员同样可以写脚本把所有的手机号遍历一遍,挨个发送)

6、通过限制每个ip的发送次数来解决5的问题(但程序员同样可以写脚本,通过代理ip绕过对ip的限制)

7、前端设置图片验证码,解决6的问题(但一般简单的图片验证码同样可以软件进行识别,照样可以用脚本调接口)

8、一般到第7步,基本可以解决短信接口盗刷问题。你应该明白12306为什么设置那么复杂的验证码了吧。

想做到万无一失,仿照12306做验证,保证是人为在操作。

乱乱乱乱
关注
专栏目录
MTK平台防盗监控报警系统的研究和实现
07-25
通过KAL(Kernel Abstraction Layer)层,实现了MTK软件与Nucleus操作系统间的无缝对接,为开发者提供了便捷的编程接口和服务。 - **1.2.2 基本软件构架**: MTK的软件构架采用了层次化的设计思想,主要包括RMI、MMI...
nginx 过滤post报文 防火墙_详解nginx限制IP恶意调用短信接口处理方法
weixin_39590739的博客
11-20 352
真实案例:查看nginx日志,发现别有用心的人恶意调用API接口刷短信:30966487 115.213.229.38 "-" [05/Jun/2018:14:37:29 +0800] 0.003 xxxxxx.com "POST /xxx/sendCheckCode HTTP/1.1" 401 200 46 xx.xx.xx.xx:0000 0.003 200 "Mozilla/5.0 (Win...
022、短信验证码
limengshi138392的博客
05-25 543
一、短信验证码逻辑分析 保存短信验证码是为注册做准备的。 为了避免用户使用图形验证码恶意测试,后端提取了图形验证码后,立即删除图形验证码。 Django不具备发送短信的功能,所以我们借助第三方的容联云通讯短信平台来帮助我们发送短信验证码。 二、容联云通讯短信平台 1. 容联云通讯短信平台介绍 1.容联云官网 容联云通讯网址:https://www.yuntongxun.com/ 注册...
短信接口被恶意盗刷
最新发布
m0_70754056的博客
07-31 444
isRequestAllowed方法接收 IP 地址作为参数,通过incr方法增加对应 IP请求计数,如果是首次请求(计数为 1),则设置该键的过期时间为指定的时间窗口。3. 请求次数限制:利用redis的incrby实现计数,增加ip次数限制和总的请求次数限制,例如限制同一ip在指定时间段内(如5分钟)的请求次数上限,以及设置整个系统在特定时间段内(如5分钟)的总请求量阈值;7. 周期性修改接口:随着项目迭代升级,随机变更重点接口的请求地址,前后端同步更新,降低接口被长期攻击的风险。
防止发送短息多次发送
weixin_45228250的博客
12-18 690
场景:防止手机号发送短息多次发送 代码: /** * @data 2021/12/18 12:07 * @author: bird * @description: 场景:1s之内有100次请求过来 只能允许一个手机号放行 * 结果: 最多允许一个线程执行。如果是3个服务器会存发送三处 */ public class Main { //定义一把公平锁 public static ReentrantLock lock = new ReentrantLock(true);
从前端和后端看,如何防止短信接口盗刷攻击
qq_35141640的博客
07-30 1236
上一篇写了DDos攻击,想起之前公司也遇到过短信接口被攻击,说来惭愧,那段代码还是自己写的,当时没考虑到短信接口安全性,导致公司短信余额被刷完(还好短信账户剩的余量也不多了,不然给公司带来大损失),以下总结了几种防止短信接口盗刷的方法,仅以前端和php后端两方面解释。 1. 加图形验证码 最直接且有效且免费(关键)的方法,加图形验证码。 如果你觉得这类图形验证码容易被破解,可以是这添加干扰点或者使用中文,或者觉得和用户交互不好看,市面上还有很多类似的验证产品,如极验,都是不错的方案,但是要收费。 2.
中国防盗报警系列产品的技术发展分析
10-25
厂商通常在出厂时预留接口,使得用户可以根据需要添加各种功能模块,如网络模块、GPRS模块、语音模块和家电控制模块。通过这些模块,报警主机能够与智能家居系统无缝对接,用户可以远程控制家中的电器,甚至实现灯光...
毕业设计-基于单片机实现汽车报警电路的设计完整版.doc
11-30
系统的通信接口设计框图把GSM通信模块和单片机连接起来,用GSM发送短信息指令给终端,终端通过数据线和MAX232电平转换后由串口传送给单片机,单片机根据指令向电器设备发出控制信号,反之,单片机通过继电器触发终端...
网络游戏-网络支付方法和系统.zip
09-20
3. **风险控制**:实时监测异常交易行为,防止欺诈和盗刷。 4. **隐私政策**:明确告知用户信息使用方式,保障用户隐私权益。 5. **安全审计**:定期进行系统安全检查,确保支付系统的稳定和安全。 四、网络支付...
车辆监控管理系统设计方案.pdf
11-14
预留的技术接口和标准数据接口允许与其他系统对接,提供实时数据。 图像采集是系统的重要组成部分,支持多路图像采集,可设置多种触发条件进行图像捕获和存储。系统运行环境包括Windows操作系统、SQL Server数据库...
短信接口被恶意调用,瞬间损失两万,怎么解决?
weixin_46641057的博客
02-03 992
前两天的中午像往常一样热,太阳不知疲倦的在天空燃烧,热跑了云彩和鸟儿,马上就要点燃空气和我的脑神经。为我和电脑降温的,是我简陋的书桌上的小电扇,没有它的话,键盘太热,我可能就要写不下去代码了。 正在此时,旁边的手机嗡嗡的震了两声,对于手机从来不敢开铃声的人来说,这个震动的声音实在太熟悉了,不用说,应该是广告短信,或者有人加我微信好友了。因为短信我基本上从来不看,微信消息不会有提示,只有加好友才有,由于最近有不少朋友看到我写的文章,所以每天加我好友的还是不少的,我都是找空闲时间统一处理。所以,我还是继续写我
被恶意刷验证码短信怎么办?
weixin_46641057的博客
02-04 6801
短信验证码被刷怎么办?一 事件简述二 问题分析三 应急解决方案1 黑名单模式拦截2 请求验证拦截3 应急方案总结四 最终解决方案第一步:获取防火墙帐号密钥第二步:下载防火墙服务器第三步:前后端接入查看防火墙数据 一 事件简述 这是一件发生在前段时间的事情,当时的情况是这样的:一个新的功能模块上线之后,出现短信接口被恶意访问调用的情况,请求数量很大,而且通过查看短信服务商控制台也发现,短信发送量在飙升,看着统计曲线的增长,紧张的气氛也渐渐变得更浓,很明显,事情并不是遇到一个bug那么简单,因为牵涉到服务费用,
短信发送接口被恶意调用--记一次救火经历
TenToEleven的博客
09-27 1358
-- “隐患险于明火,防范胜于救灾,责任重于泰山” 上周三早上接到Z项目组小伙伴的求助:短信发送接口被恶意调用了,注册验证码短信在不停被发送,短信平台已经封了我们的发送通道,调用方还在孜孜不倦地调用接口,怎么搞? Z项目是三年前进行的第一版上线,三年来一直由我们的小伙伴做更新与维护。这个问题出现后,赶紧回顾项目的相关内容。 一、回顾项目 Z项目在三年前初始上线,当时主要用户为公司内部人员,...
短信接口盗刷解决方案
Java知识图谱的博客
04-12 3755
一、序言 在Web开发中,总有一些接口需要暴露在用户认证前访问,短信发送接口特别是短信验证码注册接口便是其中典型的一类,这类接口具有如下特点: 流量在用户认证之前 流量在用户认证之前,意味着无法获取用户ID等唯一标识符信息对流量限流 手机号未知 手机号未知意味着无法对待发送短信的手机号做精准检测,判断是否是合法的手机号。通过正则表达式判断手机号连号过多,容易滋生短信盗刷。 本文将重点聚焦接口的防盗刷实践。 二、盗刷流量 在解决防盗刷之前先认识盗刷流量的特点和防盗刷的目标。 (一)防盗刷的目标 1、减
短信接口安全防护策略
写个代码 扯个闲淡
08-21 1769
1. 限制同设备标识,同IP,同手机号的发送次数 增加短信接口的流控,通过请求获取用户设备标识,IP,及手机号的信息,用户这三个属性有一个相同,则认为是同一客户端。针对同一客户端,限制每个客户端单位时间内调用短信接口的次数,如一分钟调用一次。 2. 设置设备标识,IP,手机号的黑名单 单位时间内同一设备标识,IP或者手机号访问短信接口的次数大于某一阈值时,将该标识加入到黑名单列表中。对于已被
如何防止短信接口被刷?
写给自己的博客
08-04 2529
短信验证码作为重要的身份验证工具,因其操作简便、安全性高、时效性强等优点已被开发人员广泛使用。但因其获取便利、限制较少容易被不法分子利用进行短信轰炸,恶意刷掉大量短信费用,给公司或个人造成大量的金钱损失,造成这种情况原因主要是在产品实际设计过程中,有些产品人员因为对技术实现不太了解,防范意识薄弱,简单或直接忽略对短信验证码进行限制,这才造成短信接口恶意被不法分子利用。 在介绍防刷策略前我们需要了解下常见的刷短信验证的行为。 1.以攻击手机号为目的刷短信验证码 这类攻击目标主要是攻击者借助web网.
手机短信验证码接口怎么测试?
03-26
要测试手机短信验证码接口,可以按照以下步骤进行: 1. 确认短信验证码接口是否已经开发完成并已经部署到相应的测试环境中。 2. 使用测试手机号码进行测试。可以选择一个真实的手机号码,或者使用一个虚拟手机号码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值