从前端和后端看,如何防止短信接口被盗刷攻击

最新推荐文章于 2024-09-03 21:34:21 发布
最新推荐文章于 2024-09-03 21:34:21 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: 日常 文章标签: redis php 信息安全 javascript nosql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35141640/article/details/107694164
版权

上一篇写了DDos攻击,想起之前公司也遇到过短信接口被攻击,说来惭愧,那段代码还是自己写的,当时没考虑到短信接口的安全性,导致公司短信余额被刷完(还好短信账户剩的余量也不多了,不然给公司带来大损失),以下总结了几种防止短信接口被盗刷的方法,仅以前端和php后端两方面解释。

1. 加图形验证码

最直接且有效且免费(关键)的方法,加图形验证码。
在这里插入图片描述
如果你觉得这类图形验证码容易被破解,可以是这添加干扰点或者使用中文,或者觉得和用户交互不好看,市面上还有很多类似的验证产品,如极验,都是不错的方案,但是要收费。

2. 后端限制ip每天发送量和每个手机号发送量

这里直接贴出参考代码,以tp5做例子,首先要配置好redis作为其缓存

//在config/cache.php
return [
    // 使用复合缓存类型
    'type'  =>  'complex',
    // 默认使用的缓存
    'default'   =>  [
        // 驱动方式
        'type'   => 'file',
        // 缓存保存目录
        'path'   => '../runtime/default',
    ],
    // 文件缓存
    'file'   =>  [
        // 驱动方式
        'type'   => 'file',
        // 设置不同的缓存保存目录
        'path'   => '../runtime/file/',
    ],
    // redis缓存
    'redis'   =>  [
        // 驱动方式
        'type'   => 'redis',
        // 服务器地址
        'host'       => '127.0.0.1',
    ],
];

namespace app\index\controller;

use think\Request;
use think\Cache;

class Index
{
    public function sendSms(Request $request)
    {
        $phone = $request->get('phone');
        $ip = $request->ip();
        if($this->_vaildSendIp($ip)&&$this->_vaildSendPhone($phone)){
            //号码和ip不在黑名单,则走剩余流程
        }else{
            //验证不通过,则拒绝发送短信
        }
    }

    /*
     * 验证发送短信的ip是否超过限制
     * @param string $ip
     * @return bool
     */
    private function _vaildSendIp($ip)
    {
        $cache = Cache::store('redis');
        //该IP是否已经被加入黑名单
        if($cache->has('blackListOfIp-'.$ip)){
            return false;
        }
        $key = $cache->get('todaySendIpTimes-'.$ip);
        if($key){
            $cache->inc('todaySendIpTimes-'.$ip);
            //超过6次就加入黑名单,所以查询出来是6次的话,则包含这一次就是7次
            if($key >= 6 ){
                $cache->set('blackListOfIp-'.$ip,1);
                return false;
            }
        }else{
            //可以设置有效期24小时,也可以将添加时间加到key上面,写个定时任务清理掉过期的key
            $cache->set('todaySendIpTimes-'.$ip,1,24*60*60);
        }
        return true;
    }

    /*
     * 验证发送短信的号码是否超过限制
     * @param string $ip
     * @return bool
     */
    private function _vaildSendPhone($phone)
    {
        $cache = Cache::store('redis');
        //该IP是否已经被加入黑名单
        if($cache->has('blackListOfPhone-'.$phone)){
            return false;
        }
        $key = $cache->get('todaySendPhoneTimes-'.$phone);
        if($key){
            $cache->inc('todaySendPhoneTimes-'.$phone);
            //超过6次就加入黑名单,所以查询出来是6次的话,则包含这一次就是7次
            if($key >= 6 ){
                $cache->set('blackListOfPhone-'.$phone,1);
                return false;
            }
        }else{
            //可以设置有效期24小时,也可以将添加时间加到key上面,写个定时任务清理掉过期的key
            $cache->set('todaySendPhoneTimes-'.$phone,1,24*60*60);
        }
        return true;
    }
}

但如果黑客攻击一般都是采取更换ip或者伪造IP,随机使用号码等方法,代码只能起到减少损失的防护

3. 更换短信功能服务的token、key等信息

这起情况不常见,因为一段用于链接短信功能的accessKey等一般不会泄露。所以当查询访问日志没有调用短信接口,但短信数一直被盗刷,就要引起重视,可能是accessKey、账号密码等泄露了。可以手动去服务商官网更改accessKey和密码,或者在代码里把accessKey缓存,设置有效期,等有效期过了调用服务商接口重新获取accessKey

4. 使用用户短信发信息到指定号码验证

这种操作我只在qq邮箱验证的时候使用过,对用户十分不友好。就是让你发送指定内容到某号码来验证,这种估计也就大厂才这样做,而且还需要你在服务器端有接受短信的一套设备,有兴趣的朋友自己搜一下技术原理,不赘述

qq_35141640
关注
专栏目录
攻击者用不同IP、号码大量恶意调用,牵涉到服务费用(短信接口被盗系列2)
01-31 16万+
不管是前端验证码,或者这次采取的验证请求方式,都是一种验证方式,用来甄别是否为移动端APP发送过来的正常请求,如果不是,就不做处理,通过日志和黑名单数据可以得出结论,短信发送的问题已经解决。这个事件也说明,安全验证不能掉以轻心,也不能心存侥幸心理,一旦被心存恶意之人找到漏洞,还是挺难过的。
tp5.1 token解决接口数据被篡改的安全问题
xiaoyong1110的专栏
10-30 1148
tp5.1防止接口数据被篡改解释一下上面代码: 一般使用场景:用户登录,要防止登录数据被篡改: 代码如下: /** * 验证token,防止数据被篡改 * @param $arr [全部请求参数] */ public function check_token($arr){ if (!isset($arr['token']) || empty($arr['token'])){ $this->info_msg('400'
接口防盗的防范措施
最新发布
chengxuyuanlaow的博客
09-03 967
大家在工作中肯定遇到过接口被人狂的经历,就算没有经历过,在接口开发的过程中,我们也需要对那些容易被的接口或者和会消耗公司金钱相关的接口增加防盗功能。例如,发送短信接口以及发送邮件等接口,我看了国内很多产品的短信登录接口,基本上都是做了防盗,如果不做的话,一夜之间,也许公司都赔完了┭┮﹏┭┮。假设我们正在开发一个发送短信(仅国内)的接口,过程如下/sendSmsphone上面便是一个最简单的向手机号发送短信验证码的接口,不考虑其他和业务相关的操作。我们现在来分析一下,该接口存在的问题(接口)。
JAVA面试题分享五百六十三:如何防止短信盗和短信轰炸?
之乎者也·的博客
02-21 1515
短信盗和短信轰炸的概念如下:短信盗是指使用某种技术手段,伪造大量手机号调用业务系统,盗取并发送大量短信的问题。这样会导致短信系统欠费,不能正常发送短信,同时也给业务系统方,带来了一定的经济损失和不必要的麻烦。短信轰炸是指攻击者利用某种技术手段,连续、大量地向目标手机号码发送短信,以达到骚扰、干扰或消耗目标用户的时间、流量与精力的目的。这种行为可能会对受害者造成骚扰、通信中断和手机电量消耗过快等问题。
短信接口防盗解决方案
Java知识图谱的博客
04-12 3869
一、序言 在Web开发中,总有一些接口需要暴露在用户认证前访问,短信发送接口特别是短信验证码注册接口便是其中典型的一类,这类接口具有如下特点: 流量在用户认证之前 流量在用户认证之前,意味着无法获取用户ID等唯一标识符信息对流量限流 手机号未知 手机号未知意味着无法对待发送短信的手机号做精准检测,判断是否是合法的手机号。通过正则表达式判断手机号连号过多,容易滋生短信盗。 本文将重点聚焦接口的防盗实践。 二、盗流量 在解决防盗之前先认识盗流量的特点和防盗的目标。 (一)防盗的目标 1、减
短信防火墙使用教程(短信防轰炸、短信防盗
weixin_46641057的博客
03-01 1493
短信服务接口安全是在开发或对接短信接口时尤为关注的问题。部分黑客可能出于恶意竞争或短信轰炸他人的目的,攻击短信服务接口,盗验证短信,造成资金损失。那么应该如何避免短信接口被恶意调用?本文为大家介绍短信防火墙的使用方法。
如何防止短信验证被盗
Xly_blog
03-08 5942
      在php聊天群里,有位同学说 他们的5000块钱的短信,两天被完了!,问群里大佬怎么办!就一般的防止短信验证盗而言(通过修改手机号修改验证码),我们通常的防止短信被滥发,就是(1)限制每个手机号的发送次数类似://检查发送次数 $key = "mobileReg_sms_send_times:" . $mobile . ":" . date("Ymd"); $smsSendTime...
微信小程序登录安全深度分析:Python后端防护全攻略
![微信小程序登录安全深度分析:Python后端防护全攻略]...一个安全的登录机制不仅能保证用户信息的保密性,还能有效防止未授权访问和数据泄露,是维护小程序长期健康发展的基础。 ## 1.2 登录安全面临的挑
SSH考试报名系统.rar
01-04
4. **支付接口**:如果系统支持在线支付,SSH将确保支付信息在传输过程中的安全性,防止信用卡信息被盗。 5. **日志和审计**:为了追踪和分析系统活动,SSH考试报名系统应记录所有SSH连接的日志,以便于监控和排查...
【Pylons中间件性能监控】:实时追踪,确保应用流畅运行
Pylons中间件是Python Web应用框架中的一个组件,它位于Web服务器和Python应用之间,用于处理请求和响应的细节。通过中间件,开发者可以增加额外的功能,如性能监控、安全性增强、日志记录等,而无需修改应用代码。 ...
2.SDL规范文档
weixin_30872337的博客
02-27 2357
01.安全设计Checklist 输入验证 校验跨信任边界传递的不可信数据(策略检查数据合法性,含白名单机制等)格式化字符串时,依然要检验用户输入的合法性,避免可造成系统信息泄露或者拒绝服务 禁止向Java Runtime.exec()方法传递不可信、未净化的数据(当参数中包含空格,双引号,以-或者/符号开头表示一个参数开关时,可能会导致参数注入漏洞),建议如果可以禁止JVM...
防止短信被盗
weixin_34250709的博客
05-09 169
2019独角兽企业重金招聘Python工程师标准>>> ...
短信防办法
MaRain
06-28 2487
短信接口在业务中是必然会有的,那么怎么保证接口被呢? 我简单总结一下我的想法 首先可以考虑在页面上加上 验证码。可以减少人为的票 大量的被还应该是直接对接口的调用,这里面应该怎样防止呢 可以考虑业务端 和 借口段 对应 token 识别表单令牌是否合法,但是这个令牌必须要一直变。不变的话就没有意义了。(时间,其他的变化的参数都可以成为token的元素) 还可以考虑对IP的限制。每
短信接口防盗
weixin_61997998的博客
04-10 270
短信防盗,关键技术解析.
接口防爆,就这么办!
这个时代,作为程序员可能要学习小程序
09-08 329
为什么会有人要接口?1、牟利黄牛在 12306 网上抢票再倒卖。2、恶意攻击竞争对手如短信接口被请求一次,会触发几分钱的运营商费用,当量级大了也很可观。3、压测用 apache benc...
PHP短信接口防轰炸多重解决方案三(可正式使用)
php-yyds
12-06 1575
该类的主要方法是checkAll(),它接收一个手机号作为参数,并依次调用其他的私有方法来进行不同的检查。checkAll()方法返回一个JSON格式的结果,包含了每个检查的状态和消息,以及整体的状态。这段代码是一个名为SecurityCheck的类,用于进行安全检查。该类包含了多个私有属性和方法,用于对用户的手机号和IP地址进行检查。短信接口轰炸:指的是黑客利用非法手段获取短信接口的访问权限,然后使用该接口发送大量垃圾短信给目标用户。PHP短信接口防轰炸多重解决方案
如何防范短信接口被恶意调用(被
weixin_30892889的博客
08-07 322
鉴于之前遇到过短信接口的问题,解决的不是很好。现发现一篇如此高质量博客,特此收藏分享~ 一、什么是短信轰炸(短信接口)   短信轰炸一般基于 WEB 方式(基于客户端方式的原理与之类似),由两个模块组成,包括:一个前端 Web 网页,提供输入被攻击者手机号码的表单;一个后台攻击页面(如 PHP),利用从各个网站上找到的动态短信 URL 和 前端输入的被攻击者手机号码,发送 H...
如何防止网站短信验证码被攻击
weixin_30871701的博客
08-08 493
  现在手机已经成为了人们必不可少的东西,手机号几乎成了我们身份ID,当前在互联网各大网站、APP等注册几乎都是通过手机号验证短信来完成注册,短信验证码发送一般我们都调用的第三方接口,当然这个是收费的。一般我们在调用第三方短信发送接口时,如果防御没做好,很有可能就成为了黑客攻击的点,可能会在几分钟内就能把你几条短信给耗光,所以做好短信验证码防御是十分重要的,下面我们分享几个方法,本人也是...
【SpringBoot】Spring Boot 如何实现接口防
低调做人,低调编码,神码都是浮云
06-19 2187
SpringBoot接口防
前端安全实践:揭秘CSRF攻击与防护策略
"前端安全:如何防止CSRF攻击?" 前端安全是现代互联网应用程序开发中的重要环节,尤其是在移动互联网时代,各种安全问题层出不穷。CSRF(跨站请求伪造)攻击是一种针对Web应用的安全威胁,它利用用户的登录状态,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值