短信验证码防攻击、防轰炸

最新推荐文章于 2024-02-21 21:07:13 发布
置顶 最新推荐文章于 2024-02-21 21:07:13 发布
阅读量6.6k 收藏 23
点赞数 8
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40024529/article/details/110530619
版权

短信轰炸就是指一些人用特殊的软件越过前端进行无限制获取短信验证码,对于这块需要做一些防止的措施来避免短信轰炸。

1,第一种方式,使用图形验证码进行来防止攻击

使用图形验证码时,无论安全监测进行怎么样攻击都可以有效的预防短信轰炸(因为使用图形验证码相对于来说就是加了一层效验)。只是有些PC端、APP以及手机银行不会用图形验证码+短信进行使用。一是不美观,二是键盘加密不适合使用图形验证码。

2,第二种方式,使用redis进行来防止攻击

获取短信验证码的时候,上送手机号存入redis里面,并set一个失效时间。第二次进入接口时,查询redis里面是否有失效时间,如果存在失效时间,提示获取短信验证码频繁,反之则通过并set失效时间。

效验短信验证码时,如果比对成功,则清除reids里面的失效时间。

代码如下:
获取短信验证码时
在这里插入图片描述

效验短信验证码时
在这里插入图片描述
本人对于短信轰炸的浅谈,如有不足,请各位大牛指点一二,小子铭记在心。

独钓寒江雪__
关注
短信验证码攻击
爱昵容儿 的专栏
06-25 396
看到下面一个请求包,发个验证码附带了这么多的参数,那么肯定是有些问题滴!!一般比较典型的短信轰炸漏洞,要么是未作任何限制,要么是添加 +、空格等可以绕过最近在测试的时候,发现了一点新东西,利用请求中的其他参数也可以造成短信轰炸漏洞,比如说:场景对应图中的参数为type,不同的业务场景对应着不同的值,比如登陆、注册、修改密码、修改手机号等等,那么就可以暴力破解出 type 的值,不同场景发送验证码互不干扰语言。
短信验证码接口安全护措施
mandaoduanxin的博客
02-26 2917
在上一篇《短信验证码接口攻击(短信轰炸)原理分析》,我们了解了验证码短信接口遭受短信轰炸的原理,本篇将和大家介绍下具体的护措施。我们知道短信轰炸形成的原因是因为非授权的动态短信获取,如用户注册时的手机验证短信,在用户获取验证码短信前系统并不能建立业务关联。因此,在未建立业务关联的情况下,需要进一步严格限制保证业务使用的安全性。我们可以综合采用:增加图片验证码、IP请求次数限制、单用户请求间隔时长...
短信验证码接口被恶意攻击了该怎么办?
bonzson88的博客
02-01 462
用户请求验证码时,记录请求的IP和手机号码,并对发送频率做限制,例如每分钟/单个IP/单个手机号仅能请求一次。设置验证码模板的单日请求上限,设置一个合适的数值,这样每个手机号码单日超过这个上线的数量的验证码请求会被邦之信直接过滤。邦之信主动御机制被触发后,将会自动设置合适的安全级别,御恶意请求。所幸的是,邦之信有一系列的范机制,帮助客户及时解决问题。前往邦之信 -> 短信-> 创建/管理 APPID页面,设置IP白名单,保护您的APPID不被非法劫持后滥用。请点击输入图片描述(最多18字)
java短信策略,止短信盗刷,阿里云短信通道,短信通道安全策略,短信轰炸
01-15
短信策略盗刷,短信轰炸。 短信通道盗刷方案: 1.使用安全图形验证码,增加识别难度,止通过自动化工具进行攻击请求; 2.每日限制每个手机号的发送次数; 3.单Ip的请求次数限制,攻击者对服务器进行大量无效请求; 4.单用户动态短信请求间隔时长限制; 5.增加IP黑名单库、白名单库; 本仓库已实现2、3、4、5方案功能,并多年生产环境稳定运行,欢迎大家借鉴、参考和指正评论。 软件架构:springboot、redis、json、NewUtils、阿里云短信通道。
如何预短信轰炸
m0_61651362的博客
09-13 336
1、加上图形验证码 加上图形验证码可有效止恶意工具的自动化调用,当用户“获取验证码”之前, 需要先完成图形验证码,只有正确输入图形验证码后,服务器端才会向用户手机发送动态验证码。 2、对验证码获取做限制 一般限制在60秒以内,超出60秒验证码作废,重新获取。 3、对验证码输入做时间限制 一般限制在30秒以内,超出30秒没有输入的验证码作废,重新获取。 ...
止恶意攻击短信验证码接口方法
新新
07-12 1万+
止恶意攻击短信验证码接口方法、短信运营商调研选型
短信验证码轰炸解决方案二(止海外ip、限制ip、限制手机号次数解决)
php-yyds
12-05 2144
2. 访问次数限制使用了基于Session的计数器,这意味着计数器是与用户的Session绑定的。3. 检查海外IP:通过调用腾讯地图API,可以判断访问者的IP是否属于中国境内,从而禁止海外IP的访问。2. 访问次数限制:对于同一个IP地址或手机号,可以限制其访问次数,避免频繁访问或滥用。1. 黑名单功能仅针对预先设置的IP地址和手机号,无法应对新出现的恶意IP或手机号。4. 对于同一个手机号,限制访问次数,如果超过限制则终止访问。3. 对于同一个IP,限制访问次数,如果超过限制则终止访问。
JAVA面试题分享五百六十三:如何止短信盗刷和短信轰炸
最新发布
之乎者也·的博客
02-21 1406
短信盗刷和短信轰炸的概念如下:短信盗刷是指使用某种技术手段,伪造大量手机号调用业务系统,盗取并发送大量短信的问题。这样会导致短信系统欠费,不能正常发送短信,同时也给业务系统方,带来了一定的经济损失和不必要的麻烦。短信轰炸是指攻击者利用某种技术手段,连续、大量地向目标手机号码发送短信,以达到骚扰、干扰或消耗目标用户的时间、流量与精力的目的。这种行为可能会对受害者造成骚扰、通信中断和手机电量消耗过快等问题。
Springboot短信刷接口实现及Dubbo、Zookeeper整合
tzy1997
07-13 959
需求分析 一、站在被攻击者的角度而言,首先要保证的是:其手机号短时间内不收到多条短信(假定为每分钟最多收到1条),而若攻击者以分钟为单位调用接口,对被攻击者而言也难以接受,故同样要保证的是:被攻击者在同一天内不收到多条短信(假定为5条)。 二、站在服务提供者的角度而言,平台不希望发出大量无用短信,从而增加系统压力与短信费用,但不能以简单的限制每日发送短信总数量来做处理,因为当攻...
会员注册短信接口被攻击,如何刷?
GUYSGO的专栏
05-26 994
网站或者APP注册页面,因为获取短信验证码的功能是暴露在外的,短信接口有可能被短信轰炸攻击,那短信验证码刷策略如何做呢?首先我们来了解一下短信接口攻击: 什么是短信接口攻击? 个别用户出于不正当目的,自己或者委托第三方使用 “短信接口轰炸软件”,短时间内在各应用页面(主要是注册页面)模拟输入被攻击者的手机号码,批量、循环提交请求,给一些手机号码无限发送各种无效短信(如短信验证码)的行为,导致无辜的手机用户被骚扰。 短信接口攻击带来的影响 1、用户在无任何操作情况下,莫名收到大量短信验证码,对用户
java发送手机短信验证码
06-06
java手机短信验证码,demo,简单粗暴,粘过去就可以用。
短信接口被恶意调用?企业短信火墙+【中昱维信】短信验证码Java
热门推荐
01-31 9万+
在用户登录、注册环节,为了止机器攻击,一般要通过短信验证来解决,但引入短信验证码机制后,验证短信又可能被攻击, 为了止短信验证机制被攻击, 传统做法是增加谷歌图形验证码,但在AI能力迅猛发展的时代却形同虚设, 新昕科技在交易反欺诈核心上, 通过AI快速学习机制,结合国际领先的设备指纹技术,首次推出无需图形验证码机制的企业短信火墙
如何止短信轰炸
yueguanyun的专栏
03-20 9997
如何止短信轰炸 转自:http://jingyan.baidu.com/article/22a299b5c7a8af9e19376a87.html 短信轰炸带来的隐患 ①用户无任何操作情况下,莫名收到很多短信验证码,对用户造成严重的骚扰。 ②被短信轰炸过后,平台(APP)发送的大量短信验证码含有平台(APP)的签名,对平台(APP)带来广泛的负面影响。 ③平台(AP
java面试(1)如何止恶意攻击短信验证码接口
01-28 2474
如何止恶意攻击短信验证码接口1 自研技术2 自研验证码被破解怎么办?3 所有图形验证码都被破解怎么办? 1 自研技术 1、手机号码限制:限制单个手机号码每天的最大发送次数。超过次数不能发送短信,可以考虑将手机号码加入黑名单,禁止1天。 2、短信发送时间间隔限制:限制同一个手机号码重复发送的时间间隔。通常设置为60-120秒,前端做倒计时限制,时间未到不能点击发送短信按钮,后台也做时间间隔限制,时间未到不能发送短信。 3、IP地址限制:限制每个IP地址每天的最大发送次数。止通过同一个IP地址不同手机号码进
JAVA aop方式实现 止请求轰炸
SUNJsun_的博客
06-30 192
3.在controller 层的接口上面加上注解。
短信验证码被刷
kang1011的博客
08-23 1899
短信验证码被刷可以采取以下几种措施: 1、图形验证码限制:图形验证通过后再请求接口 图形验证码限制是最常用的一种方式,用户输入图形验证码并通过之后,再请求短信接口获取验证码。 2、时间限制:60秒后才能再次发送 这种措施使用得比较普遍,从发送验证码开始,前端(客户端)会进行一个60秒的倒数,在这一分钟之内,用户是无法提交多次发送信息的请求的。但是却不是非常有用,技术稍微好点的人完全可以绕过这个限制,直接发送短信验证码。 3、手机号限制:同一个手机号,24小时之内不能够超过5条 对使用同一个手机
Java场景面试题:短信验证码接口被狂刷,怎么办?
Tom弹架构
02-23 1833
请问短信验证码接口被狂刷,搞得服务都快要崩溃了,我该怎么办?
如何止网站短信验证码攻击
weixin_30871701的博客
08-08 472
  现在手机已经成为了人们必不可少的东西,手机号几乎成了我们身份ID,当前在互联网各大网站、APP等注册几乎都是通过手机号验证短信来完成注册短信验证码发送一般我们都调用的第三方接口,当然这个是收费的。一般我们在调用第三方短信发送接口时,如果御没做好,很有可能就成为了黑客攻击的点,可能会在几分钟内就能把你几条短信给耗光,所以做好短信验证码御是十分重要的,下面我们分享几个方法,本人也是...
PHP短信接口轰炸多重解决方案三(可正式使用)
php-yyds
12-06 1509
该类的主要方法是checkAll(),它接收一个手机号作为参数,并依次调用其他的私有方法来进行不同的检查。checkAll()方法返回一个JSON格式的结果,包含了每个检查的状态和消息,以及整体的状态。这段代码是一个名为SecurityCheck的类,用于进行安全检查。该类包含了多个私有属性和方法,用于对用户的手机号和IP地址进行检查。短信接口盗刷轰炸:指的是黑客利用非法手段获取短信接口的访问权限,然后使用该接口发送大量垃圾短信给目标用户。PHP短信接口轰炸多重解决方案
中移动推出动态短信验证码安全护详解
《中移动出品动态短信验证码安全护方案》是中国移动于2014年9月发布的一份重要文档,旨在解决因“短信炸弹”攻击导致的短信验证码滥用问题。短信炸弹是一种恶意互联网攻击手段,通过循环利用不同网站的动态短信...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值