短信接口怎么对接最安全?如何防止盗刷?

最新推荐文章于 2024-09-03 21:34:21 发布
最新推荐文章于 2024-09-03 21:34:21 发布
阅读量2.7k 收藏 3
点赞数
分类专栏: 短信接口 文章标签: 短信接口 短信接口盗刷
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31949853/article/details/84964999
版权

大多系统在做注册、登录、找回密码、修改密码等功能时,往往需要发送短信验证码来确定当前操作者即为该账号的所属者,来保障账号的安全。

发送一条短信费用大概在0.03-0.04之间,对于正常的使用,勉强是可以接受的。

如果控制不好,会被滥用,花钱不说,对用户造成不好的体验。

如何防止短信接口被滥用、盗用?

1、前端增加时间限制,如:js控制60秒后才能继续发送(但不用等60秒,刷新后又能获取)

2、前端用cookie,把剩余限制的时间记录到cookie内,解决刷新剩余时间消失的问题(但初级程序员会通过f12,看到请求事件,直接在浏览器内访问短信接口地址)

3、采用post方式,解决浏览器内直接访问的问题(但仍能通过接口调用工具如postman进行调用)

4、通过后台记录手机号发送验证码的记录,限制发送时间间隔,解决通过工具调用(但程序员可以写脚本每隔1分钟请求一次)

5、通过限制每个手机号每天的发送次数,可以解决4的问题(但程序员同样可以写脚本把所有的手机号遍历一遍,挨个发送)

6、通过限制每个ip的发送次数来解决5的问题(但程序员同样可以写脚本,通过代理ip绕过对ip的限制)

7、前端设置图片验证码,解决6的问题(但一般简单的图片验证码同样可以软件进行识别,照样可以用脚本调接口)

8、一般到第7步,基本可以解决短信接口盗刷问题。你应该明白12306为什么设置那么复杂的验证码了吧。

想做到万无一失,仿照12306做验证,保证是人为在操作。

乱乱乱乱
关注
专栏目录
如何防止短信接口被刷?
写给自己的博客
08-04 2575
短信验证码作为重要的身份验证工具,因其操作简便、安全性高、时效性强等优点已被开发人员广泛使用。但因其获取便利、限制较少容易被不法分子利用进行短信轰炸,恶意刷掉大量短信费用,给公司或个人造成大量的金钱损失,造成这种情况原因主要是在产品实际设计过程中,有些产品人员因为对技术实现不太了解,防范意识薄弱,简单或直接忽略对短信验证码进行限制,这才造成短信接口恶意被不法分子利用。 在介绍防刷策略前我们需要了解下常见的刷短信验证的行为。 1.以攻击手机号为目的刷短信验证码 这类攻击目标主要是攻击者借助web网.
商家平台短信防盗刷解决方案
m0_61627247的博客
02-23 351
很多商家平台都有对接短信功能来验证用户的真实性,这个本来是一个很正常的业务需要,但是却被一些有心人用程序进行频繁请求发送,造成短信被恶意发送,那么短信防盗刷就是非常必要的一件事,商家平台在上线前都需要确认,今天我们来发一下短信防盗刷解决方案。 方案一:获取手机验证码的功能放在外面: 1、系统要检测箭头项目全部填写完全后才能进入获取验证码流程; 2、设置同一ip同一天请求次数不要超过5次; 3、设置相同号码获取手机验证码的时间间隔超过60秒; 4、设置相同手机号码一天内只能提交2次; 5、做图形验
短信接口盗刷
weixin_61997998的博客
04-10 272
短信防盗刷,关键技术解析.
接口防盗刷的防范措施
最新发布
chengxuyuanlaow的博客
09-03 972
大家在工作中肯定遇到过接口被人狂刷的经历,就算没有经历过,在接口开发的过程中,我们也需要对那些容易被刷的接口或者和会消耗公司金钱相关的接口增加防盗刷功能。例如,发送短信接口以及发送邮件等接口,我看了国内很多产品的短信登录接口,基本上都是做了防盗刷,如果不做的话,一夜之间,也许公司都赔完了┭┮﹏┭┮。假设我们正在开发一个发送短信(仅国内)的接口,过程如下/sendSmsphone上面便是一个最简单的向手机号发送短信验证码的接口,不考虑其他和业务相关的操作。我们现在来分析一下,该接口存在的问题(刷接口)。
怎样设计一个安全短信接口
weixin_46641057的博客
03-01 595
-- “隐患险于明火,防范胜于救灾,责任重于泰山” 某一次“看似合理”的决定就注定了自己挖好了坑,掉进自己挖的坑里是早晚的事,暴露在互联网上的所有入口,安全性容不得任何一丝的“看似合理”。
如何防范短信接口被恶意调用(被刷)
xixingzhe2的博客
01-03 772
一、什么是短信轰炸(短信接口被刷) 短信轰炸一般基于 WEB 方式(基于客户端方式的原理与之类似),由两个模块组成,包括:一个前端 Web 网页,提供输入被攻击者手机号码的表单;一个后台攻击页面(如 PHP),利用从各个网站上找到的动态短信 URL 和 前端输入的被攻击者手机号码,发送 HT...
短信接口安全防护策略
写个代码 扯个闲淡
08-21 1806
1. 限制同设备标识,同IP,同手机号的发送次数 增加短信接口的流控,通过请求获取用户设备标识,IP,及手机号的信息,用户这三个属性有一个相同,则认为是同一客户端。针对同一客户端,限制每个客户端单位时间内调用短信接口的次数,如一分钟调用一次。 2. 设置设备标识,IP,手机号的黑名单 单位时间内同一设备标识,IP或者手机号访问短信接口的次数大于某一阈值时,将该标识加入到黑名单列表中。对于已被
避免短信接口被黑客调用的方式
01-14 880
短信服务接口安全是在开发或对接短信接口时尤为关注的问题。部分黑客可能出于恶意竞争或短信轰炸他人的目的,攻击短信服务接口,盗刷验证短信,造成资金损失。那么应该如何避免短信接口被恶意调用?本文为大家介绍一些简单实用的方法。#短信防火墙# ➤ 避免方式 1.设置发送时间间隔 可以通过设置短信验证码的发送时间间隔避免短信被调用,频繁地向非应用用户发送验证码短信。短信发送时间间隔一般设置为60s、100s、120s,一般来讲设置60s的最为常见。 2.增加图形验证码 在发送验证码短信前增加图形验证码,可以增加黑客
GSM短信模块驱动的家庭防盗报警系统
"基于GSM短信模块的家庭防盗报警系统是一个利用单片机和GSM短信模块相结合的技术,通过GSM移动网络发送中文短信或拨打电话的方式,实现实时报警功能的智能安全防护系统。该系统设计旨在克服传统机械式安防系统的局限...
MTK平台防盗监控报警系统的研究和实现
07-25
通过KAL(Kernel Abstraction Layer)层,实现了MTK软件与Nucleus操作系统间的无缝对接,为开发者提供了便捷的编程接口和服务。 - **1.2.2 基本软件构架**: MTK的软件构架采用了层次化的设计思想,主要包括RMI、MMI...
通道属性优势及配置
短信运营者
03-02 2644
一、 资质优势1. 企业优势上海创蓝文化传播有限公司2009年初创于上海,注册资金1111.1111万元,现有员工近600人,其中研发人员超过100人。总部位于上海漕河泾创蓝大厦,设立有北京、深圳、成都、广州、长沙、武汉等十二家分公司,业务范围覆盖全国34个省市,全球221个国家和地区。 2. 团队优势创蓝253核心团队来自于Google、腾讯、华为、神州数码、新东方、微讯移通等全球和国内知名通讯...
短信通道防盗刷,短信发送策略
wangyue123com的专栏
07-30 923
一、短信通道防盗刷方案 一、使用安全图形验证码,增加识别难度,防止通过自动化工具进行攻击请求; 规则:使用手滑动形式的验证码。 二、限制每个手机号的发送次数; 规则:每个手机号每天最多只能发10条短信; ok 三、单Ip请求次数限制,防止攻击者对服务器进行大量无效请求(在图形验证码未破解的情况下,自动化工具行程错误请求),增加服务器负担; 规则:限制单IP每天请求次数不能超过10次。 四、单用户动态短信请求间隔时长限制,防止对单个用户形成手工攻击,防止图形验证码失效后对用户形成大量攻击; 规则:单用户
关于短信60秒防止刷新问题 纯思路
Mr_KingPeng的博客
12-17 1290
看到了网络上很多把发送短信60 防止刷新的办法。哥们今天也遇到了,然后参照网上的思路自己总结如下,希望给下次遇到的跟我一样的童鞋一点帮助。 思路如下:    1.当点击发送按钮的时候需要改变按钮的变化状态,就是所谓的剩余时间    2.为防止点击在倒计时的时间内再次点击,需要给点击按钮加上disable属性  attr(disabled,true)    3.为防止刷新需要把时间存进coo
基于Android平台的短信安全评估与加密保护系统(APP客户端部分)
Kingsman_T的博客
01-07 672
基于Android平台的短信安全评估与加密保护系统(APP客户端部分) —— 南京大学2018-2019大学生创新创业训练项目 (APP客户端部分) 安装包(APK文件) 下载地址 关于源代码的使用 Android客户端的部分功能需要与服务器端程序通信,请先部署服务器端程序:地址 编译生成前,请先搜索"TODO-FIRST"(MainActivity.java 和 FeedbackActivity...
web端登录页面 弹框 --短信防盗链
Healer_JJJ的博客
11-20 866
为了减少网站的盗刷,减少损失,采用发送按钮点击后 谈出验证码 输入验证码 以防止盗刷短信的功能。 代码如下: import Ember from 'ember' import ajax from 'ic-ajax' import sendcode from '../../utils/sendcode' export default Ember.Controller.e
短信接口被***处理--Haproxy的防盗链
weixin_34266504的博客
03-28 151
背景:从上面可以看到短信接口做了“短信轰炸机”的傀儡,一天的调用量达到135447次防止此类***比较简单的方法就是根据来源判断是否合法,这也是大多数图片网站防盗链的处理方法。在Haproxy中增加aclphone_hosthdr_dom(host)-iwww.abc.com aclphone_pathpath_beg-i/duanxin/acticn.do ...
防止发送短息多次发送
weixin_45228250的博客
12-18 713
场景:防止手机号发送短息多次发送 代码: /** * @data 2021/12/18 12:07 * @author: bird * @description: 场景:1s之内有100次请求过来 只能允许一个手机号放行 * 结果: 最多允许一个线程执行。如果是3个服务器会存发送三处 */ public class Main { //定义一把公平锁 public static ReentrantLock lock = new ReentrantLock(true);
从前端和后端看,如何防止短信接口盗刷攻击
qq_35141640的博客
07-30 1286
上一篇写了DDos攻击,想起之前公司也遇到过短信接口被攻击,说来惭愧,那段代码还是自己写的,当时没考虑到短信接口安全性,导致公司短信余额被刷完(还好短信账户剩的余量也不多了,不然给公司带来大损失),以下总结了几种防止短信接口盗刷的方法,仅以前端和php后端两方面解释。 1. 加图形验证码 最直接且有效且免费(关键)的方法,加图形验证码。 如果你觉得这类图形验证码容易被破解,可以是这添加干扰点或者使用中文,或者觉得和用户交互不好看,市面上还有很多类似的验证产品,如极验,都是不错的方案,但是要收费。 2.
Yunec短信插件:简化短信接口对接与验证流程
短信接口最普遍的应用之一是验证码短信的发送。当用户在注册或登录某个应用时,系统会向用户的手机发送一个一次性的验证码,用户需要在应用中输入这个验证码以验证其身份。此外,短信接口也可以用于发送营销通知、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值