本文讲述了维护的网站短信接口遭到黑客攻击,通过开启SSL、添加图形验证码和检查HTTP_REFERER来源来防止恶意调用。特别指出在未开启SSL时,HTTP_REFERER验证不可靠作为防护手段。
维护的一个网站最近短信接口被黑,发送大量短信。起初以为是在网站内部操作,优化了发送短信前的操作,如添加图形验证码,屏蔽国外IP等。但后续还存在被调取情况,定位排查到是该接口在外部被恶意调取。
本网站已开启SSL,可通过 HTTP_REFERER 判断。
若网站未开启SSL,不建议以下方法,因为 HTTP_REFERER 会被伪造;
if(isset($_SERVER['HTTP_REFERER']) && strpos($_SERVER['HTTP_REFERER'],'网站域名') !== false){
$this->_caozuo(); //继续操作
}else{
$this->result(null,403,''禁止访问,'json');
}
1135
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
