从前端和后端看,如何防止短信接口被盗刷攻击

最新推荐文章于 2024-05-29 00:11:48 发布
最新推荐文章于 2024-05-29 00:11:48 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: 日常 文章标签: redis php 信息安全 javascript nosql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35141640/article/details/107694164
版权

上一篇写了DDos攻击,想起之前公司也遇到过短信接口被攻击,说来惭愧,那段代码还是自己写的,当时没考虑到短信接口的安全性,导致公司短信余额被刷完(还好短信账户剩的余量也不多了,不然给公司带来大损失),以下总结了几种防止短信接口被盗刷的方法,仅以前端和php后端两方面解释。

1. 加图形验证码

最直接且有效且免费(关键)的方法,加图形验证码。
在这里插入图片描述
如果你觉得这类图形验证码容易被破解,可以是这添加干扰点或者使用中文,或者觉得和用户交互不好看,市面上还有很多类似的验证产品,如极验,都是不错的方案,但是要收费。

2. 后端限制ip每天发送量和每个手机号发送量

这里直接贴出参考代码,以tp5做例子,首先要配置好redis作为其缓存

//在config/cache.php
return [
    // 使用复合缓存类型
    'type'  =>  'complex',
    // 默认使用的缓存
    'default'   =>  [
        // 驱动方式
        'type'   => 'file',
        // 缓存保存目录
        'path'   => '../runtime/default',
    ],
    // 文件缓存
    'file'   =>  [
        // 驱动方式
        'type'   => 'file',
        // 设置不同的缓存保存目录
        'path'   => '../runtime/file/',
    ],
    // redis缓存
    'redis'   =>  [
        // 驱动方式
        'type'   => 'redis',
        // 服务器地址
        'host'       => '127.0.0.1',
    ],
];

namespace app\index\controller;

use think\Request;
use think\Cache;

class Index
{
    public function sendSms(Request $request)
    {
        $phone = $request->get('phone');
        $ip = $request->ip();
        if($this->_vaildSendIp($ip)&&$this->_vaildSendPhone($phone)){
            //号码和ip不在黑名单,则走剩余流程
        }else{
            //验证不通过,则拒绝发送短信
        }
    }

    /*
     * 验证发送短信的ip是否超过限制
     * @param string $ip
     * @return bool
     */
    private function _vaildSendIp($ip)
    {
        $cache = Cache::store('redis');
        //该IP是否已经被加入黑名单
        if($cache->has('blackListOfIp-'.$ip)){
            return false;
        }
        $key = $cache->get('todaySendIpTimes-'.$ip);
        if($key){
            $cache->inc('todaySendIpTimes-'.$ip);
            //超过6次就加入黑名单,所以查询出来是6次的话,则包含这一次就是7次
            if($key >= 6 ){
                $cache->set('blackListOfIp-'.$ip,1);
                return false;
            }
        }else{
            //可以设置有效期24小时,也可以将添加时间加到key上面,写个定时任务清理掉过期的key
            $cache->set('todaySendIpTimes-'.$ip,1,24*60*60);
        }
        return true;
    }

    /*
     * 验证发送短信的号码是否超过限制
     * @param string $ip
     * @return bool
     */
    private function _vaildSendPhone($phone)
    {
        $cache = Cache::store('redis');
        //该IP是否已经被加入黑名单
        if($cache->has('blackListOfPhone-'.$phone)){
            return false;
        }
        $key = $cache->get('todaySendPhoneTimes-'.$phone);
        if($key){
            $cache->inc('todaySendPhoneTimes-'.$phone);
            //超过6次就加入黑名单,所以查询出来是6次的话,则包含这一次就是7次
            if($key >= 6 ){
                $cache->set('blackListOfPhone-'.$phone,1);
                return false;
            }
        }else{
            //可以设置有效期24小时,也可以将添加时间加到key上面,写个定时任务清理掉过期的key
            $cache->set('todaySendPhoneTimes-'.$phone,1,24*60*60);
        }
        return true;
    }
}

但如果黑客攻击一般都是采取更换ip或者伪造IP,随机使用号码等方法,代码只能起到减少损失的防护

3. 更换短信功能服务的token、key等信息

这起情况不常见,因为一段用于链接短信功能的accessKey等一般不会泄露。所以当查询访问日志没有调用短信接口,但短信数一直被盗刷,就要引起重视,可能是accessKey、账号密码等泄露了。可以手动去服务商官网更改accessKey和密码,或者在代码里把accessKey缓存,设置有效期,等有效期过了调用服务商接口重新获取accessKey

4. 使用用户短信发信息到指定号码验证

这种操作我只在qq邮箱验证的时候使用过,对用户十分不友好。就是让你发送指定内容到某号码来验证,这种估计也就大厂才这样做,而且还需要你在服务器端有接受短信的一套设备,有兴趣的朋友自己搜一下技术原理,不赘述

qq_35141640
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
tp5.1 token解决接口数据被篡改的安全问题
xiaoyong1110的专栏
10-30 1110
tp5.1防止接口数据被篡改解释一下上面代码: 一般使用场景:用户登录,要防止登录数据被篡改: 代码如下: /** * 验证token,防止数据被篡改 * @param $arr [全部请求参数] */ public function check_token($arr){ if (!isset($arr['token']) || empty($arr['token'])){ $this->info_msg('400'
网页前端常见的攻击方式和预防攻击的方法
09-28
网页前端常见的攻击方式和预防攻击的方法 网页前端开发中的安全问题是一个至关重要的主题,因为大多数人认为前端代码运行在客户端浏览器中,不会对服务器端的安全造成威胁。然而,随着前端技术的发展,安全问题已经...
接口怎么实现防
fangxiang2008的博客
03-14 440
在互联网要数据和信息传递,通常是通过接口实现的,所以接口必须暴露出来,接口怎么防止恶意请求。例如一个网站一个注册发送验证码接口要暴露个公众端,下面我介绍几种方法。
发送短信验证码接口的五种简单好用方法绝对够用
最新发布
itScholar001的博客
05-29 1981
1.前端调用发送短信接口前,通过密钥(1234abcd)与加密算法,将miyao1234+(16位英文字母与数字字符串) 例如miyao1234wgly1noKSXg47Mn6 进行加密。5.如果解密后包含约定字符串miyao1234,则通过校验,此时注意⚠️,需要将此校验码存入redis,下次如果有相同校验码 则提示重复。前端增加图形验证码,点击发送按钮后增加60s倒计时,60s后才可以再次点击。3.后端接收到后对校验码进行解密,如果解密失败,提示失败。2.前端调用发送短信接口时,将校验码传递给后端。
JAVA面试题分享五百六十三:如何防止短信盗和短信轰炸?
之乎者也·的博客
02-21 1311
短信盗和短信轰炸的概念如下:短信盗是指使用某种技术手段,伪造大量手机号调用业务系统,盗取并发送大量短信的问题。这样会导致短信系统欠费,不能正常发送短信,同时也给业务系统方,带来了一定的经济损失和不必要的麻烦。短信轰炸是指攻击者利用某种技术手段,连续、大量地向目标手机号码发送短信,以达到骚扰、干扰或消耗目标用户的时间、流量与精力的目的。这种行为可能会对受害者造成骚扰、通信中断和手机电量消耗过快等问题。
短信接口防盗解决方案
Java知识图谱的博客
04-12 3599
一、序言 在Web开发中,总有一些接口需要暴露在用户认证前访问,短信发送接口特别是短信验证码注册接口便是其中典型的一类,这类接口具有如下特点: 流量在用户认证之前 流量在用户认证之前,意味着无法获取用户ID等唯一标识符信息对流量限流 手机号未知 手机号未知意味着无法对待发送短信的手机号做精准检测,判断是否是合法的手机号。通过正则表达式判断手机号连号过多,容易滋生短信盗。 本文将重点聚焦接口的防盗实践。 二、盗流量 在解决防盗之前先认识盗流量的特点和防盗的目标。 (一)防盗的目标 1、减
短信防火墙使用教程(短信防轰炸、短信防盗
weixin_46641057的博客
03-01 1298
短信服务接口安全是在开发或对接短信接口时尤为关注的问题。部分黑客可能出于恶意竞争或短信轰炸他人的目的,攻击短信服务接口,盗验证短信,造成资金损失。那么应该如何避免短信接口被恶意调用?本文为大家介绍短信防火墙的使用方法。
如何防止短信验证被盗
Xly_blog
03-08 5867
      在php聊天群里,有位同学说 他们的5000块钱的短信,两天被完了!,问群里大佬怎么办!就一般的防止短信验证盗而言(通过修改手机号修改验证码),我们通常的防止短信被滥发,就是(1)限制每个手机号的发送次数类似://检查发送次数 $key = "mobileReg_sms_send_times:" . $mobile . ":" . date("Ymd"); $smsSendTime...
智能卡安全性对攻击结果和攻击者的分类
11-14
为了分析对智能卡安全性攻击的强弱程度,至少应对攻击者的可能类型有一个粗略的概念,以便应用这些 信息辅助制订防范的策略和机制。  典型的攻击者有着两个基本动机:第1是贪婪;第2是提高他们在特殊“场合”中的...
电信设备-一种防止移动支付卡被盗的移动支付设备.zip
09-19
"电信设备-一种防止移动支付卡被盗的移动支付设备"的主题聚焦于如何保障用户在进行移动支付时的资金安全,防止不法分子盗取用户的支付卡信息。这份资料可能是详细阐述了一种专门设计用于增强移动支付安全性的电信...
如何防范银行卡被盗
06-09
银行卡被盗的原因,如何杜绝银行卡的盗,减少财产损失,被盗后如何挽回损失,
信用卡被盗怎么办.doc
09-19
预防胜于治疗,因此平时应采取措施保护卡片安全,如开通短信通知和手机应用提醒,确保视线始终关注服务员操作,遮盖或刮去CVV2码,设定消费限额,关闭小额免密支付,甚至购买盗险以增加额外保障。 总的来说,信用...
防止短信被盗
weixin_34250709的博客
05-09 149
2019独角兽企业重金招聘Python工程师标准>>> ...
短信防办法
MaRain
06-28 2447
短信接口在业务中是必然会有的,那么怎么保证接口被呢? 我简单总结一下我的想法 首先可以考虑在页面上加上 验证码。可以减少人为的票 大量的被还应该是直接对接口的调用,这里面应该怎样防止呢 可以考虑业务端 和 借口段 对应 token 识别表单令牌是否合法,但是这个令牌必须要一直变。不变的话就没有意义了。(时间,其他的变化的参数都可以成为token的元素) 还可以考虑对IP的限制。每
接口防爆,就这么办!
这个时代,作为程序员可能要学习小程序
09-08 311
为什么会有人要接口?1、牟利黄牛在 12306 网上抢票再倒卖。2、恶意攻击竞争对手如短信接口被请求一次,会触发几分钱的运营商费用,当量级大了也很可观。3、压测用 apache benc...
如何防止网站短信验证码被攻击
weixin_30871701的博客
08-08 465
  现在手机已经成为了人们必不可少的东西,手机号几乎成了我们身份ID,当前在互联网各大网站、APP等注册几乎都是通过手机号验证短信来完成注册,短信验证码发送一般我们都调用的第三方接口,当然这个是收费的。一般我们在调用第三方短信发送接口时,如果防御没做好,很有可能就成为了黑客攻击的点,可能会在几分钟内就能把你几条短信给耗光,所以做好短信验证码防御是十分重要的,下面我们分享几个方法,本人也是...
避免短信接口被黑客攻击的方式
WLANQY的博客
01-16 339
这里为大家介绍了四个简单易行的避免短信服务接口被调用的方法,以及实际使用中的注意事项。限制短信的发送频率,限制同一电话号码、同一IP的短信发送次数,增加图形验证码,增加短信防火墙,都可以提高黑客攻击接口的难度。在实际的接口防护中,组合使用可以大大降低企业接口被攻击的风险,但是要注意确保真实用户的使用体验。防护方案最好在对接短信接口时同时实施,避免受到攻击后因难以立即发布新的应用版本遭受损失。作者:香芋味的猫丶。
短信接口怎么对接最安全?如何防止
qq_31949853的博客
12-12 2755
大多系统在做注册、登录、找回密码、修改密码等功能时,往往需要发送短信验证码来确定当前操作者即为该账号的所属者,来保障账号的安全。 发送一条短信费用大概在0.03-0.04之间,对于正常的使用,勉强是可以接受的。 如果控制不好,会被滥用,花钱不说,对用户造成不好的体验。 如何防止短信接口被滥用、盗用? 1、前端增加时间限制,如:js控制60秒后才能继续发送(但不用等60秒,新后又能获取) ...
springboot 检验浏览器环境是否存在xss攻击防止Cookie被盗
05-20
3. 对Cookie设置HttpOnly属性,禁止JavaScript脚本访问Cookie,防止Cookie被盗。 需要注意的是,以上方法只能起到一定程度的防御作用,不能完全防止XSS攻击。因此,在编写应用程序时,还需要遵循安全编码的规范,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值