验证码短信接口受到恶意调用

最新推荐文章于 2024-07-31 11:48:25 发布
最新推荐文章于 2024-07-31 11:48:25 发布
阅读量5.4k 收藏 1
点赞数 2
分类专栏: php 文章标签: 验证码 短信 恶意调用 分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sir051223/article/details/52214606
版权

早上来到公司,手机收到验证码短信报警邮件,1个小时内被消耗掉1w条短信,只能先停了短信接口然后检查原因。很奇怪,验证码短信做了电话号码和ip限制,限制同一电话号码一小时只能只能调用5次,1分钟内不能调用第二次,同一ip一天只能调用50次,一小时能只能调用10次,ajax请求判断是本站请求才通过,我觉得应该是不会被恶意调用了的。可是还是发生了,检查步骤:

1、记录恶意攻击者的http请求头信息  采用php内置方法getallheaders  --- debug_log(print_r(getallheaders(), true));

 * 调试日志
 * @param mixed $info
 */
function debug_log($info, $file=NULL)
{
	check_dir(RUNTIME_PATH . 'Logs/debug');
	file_put_contents($file?$file:(RUNTIME_PATH . 'Logs/debug/'.'debug_' . date('Ymd') . '.log'), "[" . date('H:i:s') . "] " . ( (is_array($info) || is_object($info)) ?print_r($info, true):$info ) . "\n" , FILE_APPEND);
}


/**
 * 判断目录是否存在 创建目录
 * @param unknown $dir
 * @param number $mode
 * @return boolean
 */
function check_dir($dir, $mode = 0755)
{
	if (is_dir($dir) || @mkdir($dir, $mode)){
		return true;
	}
	if (!(check_dir(dirname($dir), $mode))){
		return false;
	}
	return @mkdir($dir, $mode);
}


 

获取到攻击者的http请求头信息,分析请求这信息正常,和用户的请求模式一模一样,ip,session_id和cookie_id都在变化,没有办法解决。 去技术群问新浪大神,大神们给了建议,首先是电话号码和ip限制,这些我都做了。最后解决办法为发送手机短信验证码之前添加一个验证,输入发送短信验证码,选择验证码时尝试了极验验证码geetest.com,效果很炫,但是免费版不支持多域名,企业版收费太贵,最后还是用自己的验证码   至此验证码短信接口受到恶意调用问题告一段落 
 

总结 短信类代码需要一个完整类管理,做好安全防范,统一管理方便调用,发送短信验证码前需要加入图片验证码,否则会被运营商封掉端口
 

 


                

        

        

    

  


    

      

        

            

              
                
                  _燃烧军团
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
短信发送接口被恶意调用--记一次救火经历

				
			

			

				

					TenToEleven的博客
				

				

					09-27
					
					1361
					
				

			

		

		

			
				
-- “隐患险于明火,防范胜于救灾,责任重于泰山”

上周三早上接到Z项目组小伙伴的求助:短信发送接口被恶意调用了,注册验证码短信在不停被发送,短信平台已经封了我们的发送通道,调用方还在孜孜不倦地调用接口,怎么搞?

Z项目是三年前进行的第一版上线,三年来一直由我们的小伙伴做更新与维护。这个问题出现后,赶紧回顾项目的相关内容。

一、回顾项目

Z项目在三年前初始上线,当时主要用户为公司内部人员,...

			
		

	



                

              
                



	

		

			

				
					
攻击者用不同IP、号码大量恶意调用,牵涉到服务费用(短信接口被盗刷系列2)

					
热门推荐

				
			

			

				

					
				

				

					01-31
					
					13万+
					
				

			

		

		

			
				
不管是前端验证码,或者这次采取的验证请求方式,都是一种验证方式,用来甄别是否为移动端APP发送过来的正常请求,如果不是,就不做处理,通过日志和黑名单数据可以得出结论,短信发送的问题已经解决。这个事件也说明,安全验证不能掉以轻心,也不能心存侥幸心理,一旦被心存恶意之人找到漏洞,还是挺难过的。

			
		

	



                


  
              

                


	

		

			

				
					
短信接口恶意调用(二)肉搏战-阻止恶意请求

				
			

			

				

					Elinor2017的博客
				

				

					06-19
					
					414
					
				

			

		

		

			
				
作者:13
GitHub:https://github.com/ZHENFENG13
版权声明:本文为原创文章,未经允许不得转载。

前言
承接前文《短信发送接口被恶意访问的网络攻击事件(一)紧张的遭遇战险胜》,在解决了短信发送的问题后,长长地舒了口气,也就各忙各的事情去了,本以为应该是个完美的收场,哪知道只是泥泞道路的前一段,收场是收不了了,还是要去应付接下来的烂摊子,因为攻击者并没...

			
		

	





	

		

			

				
					
短信接口恶意盗刷

					
最新发布

				
			

			

				

					m0_70754056的博客
				

				

					07-31
					
					454
					
				

			

		

		

			
				
isRequestAllowed方法接收 IP 地址作为参数,通过incr方法增加对应 IP 的请求计数,如果是首次请求(计数为 1),则设置该键的过期时间为指定的时间窗口。3. 请求次数限制:利用redis的incrby实现计数,增加ip次数限制和总的请求次数限制,例如限制同一ip在指定时间段内(如5分钟)的请求次数上限,以及设置整个系统在特定时间段内(如5分钟)的总请求量阈值;7. 周期性修改接口:随着项目迭代升级,随机变更重点接口的请求地址,前后端同步更新,降低接口被长期攻击的风险。

			
		

	



		

			
		



	

		

			

				
					
如何防止短信接口验证码恶意点击?

				
			

			

				

					weixin_33747129的博客
				

				

					07-31
					
					231
					
				

			

		

		

			
				
如何防止短信接口验证码恶意点击?短信接口验证码是网站、App校验用户手机号码真实性的首要途径,在为网站及APP提供便利的同时,手机短信验证功能也会被部分用户进行恶意使用。那么如何才能防止短信接口验证码恶意点击呢?一、易遭恶意使用的场景或网站  网络在线投票站(需要填写手机号码进行校验)  用户在线注册页面(包含手机短信验证功能) 手机短信动态密码登录  二、恶意点...

			
		

	





	

		

			

				
					
如何防止短信接口恶意调用攻击

				
			

			

				

					2401_84208172的博客
				

				

					05-21
					
					1063
					
				

			

		

		

			
				
最近遇到一个关于防止短信验证码被刷的问题,相信很多朋友也遭遇过这个被刷短信的问题。因此,就“防止验证码短信被盗刷”作一个总结和分享。黑客&网络安全如何学习。

			
		

	





	

		

			

				
					
【分享】PHP触发验证码短信接口DEMO

				
			

			

				

					08-03
				

			

		

		

			
				
综上所述,PHP触发验证码短信接口涉及的内容广泛,从选择服务商、接口调用到安全措施的实施,每一个环节都需要细致考虑。通过学习提供的DEMO,开发者可以快速理解并实现验证码功能,为自己的应用程序增添一道安全...

			
		

	





	

		

			

				
					
避免短信接口被黑客调用的方式

				
			

			

				

					
				

				

					01-14
					
					851
					
				

			

		

		

			
				
短信服务接口安全是在开发或对接短信接口时尤为关注的问题。部分黑客可能出于恶意竞争或短信轰炸他人的目的,攻击短信服务接口,盗刷验证短信,造成资金损失。那么应该如何避免短信接口恶意调用?本文为大家介绍一些简单实用的方法。#短信防火墙#

➤  避免方式
1.设置发送时间间隔
可以通过设置短信验证码的发送时间间隔避免短信调用,频繁地向非应用用户发送验证码短信短信发送时间间隔一般设置为60s、100s、120s,一般来讲设置60s的最为常见。
2.增加图形验证码
在发送验证码短信前增加图形验证码,可以增加黑客

			
		

	





	

		

			

				
					
mccms_V2.5.4短信接口插件以及demo.zip

				
			

			

				

					10-28
				

			

		

		

			
				
信息化时代,网站和应用程序的安全性与用户体验越来越受到重视,其中短信验证码接口扮演了至关重要的角色。本文将详细解析“mccms_V2.5.4短信接口插件”这一组件,探讨其功能特性、使用场景以及对接流程,帮助...

			
		

	





	

		

			

				
					
phpshe短信接口插件.zip

				
			

			

				

					11-23
				

			

		

		

			
				
1. 安全防护:PHPshe可能包含防止恶意攻击的安全机制,例如限制同一手机号短时间内重复发送短信,保护系统免受DoS攻击。 2. 性能优化:为了提高短信发送效率,插件可能采用了批量发送策略,减少网络请求次数,提高...

			
		

	





	

		

			

				
					
C# - RestSharp实现短信验证码注册登录完整示例

				
			

			

				

					10-26
				

			

		

		

			
				
用户在完成注册或登录时需输入接收到的验证码以证明他们拥有该手机号码,从而防止恶意机器人或攻击者滥用系统。  在C#中,我们首先需要安装RestSharp库。这可以通过NuGet包管理器完成,运行以下命令:  ```csharp ...

			
		

	





	

		

			

				
					
短信接口恶意调用,瞬间损失数万元,怎么解决?

				
			

			

				

					lxw1844912514的博客
				

				

					03-08
					
					1031
					
				

			

		

		

			
				
一、 事件简述  这是一件发生在前段时间的事情,当时的情况是这样的: 一个新的功能模块上线之后,出现短信接口恶意访问调用的情况,请求数量很大,而且通过查看短信服务商控制台也发现,...

			
		

	





	

		

			

				
					
如何防范短信接口恶意调用(被刷)

				
			

			

				

					xixingzhe2的博客
				

				

					01-03
					
					747
					
				

			

		

		

			
				
一、什么是短信轰炸(短信接口被刷) 
短信轰炸一般基于 WEB 方式(基于客户端方式的原理与之类似),由两个模块组成,包括:一个前端 Web 网页,提供输入被攻击者手机号码的表单;一个后台攻击页面(如 PHP),利用从各个网站上找到的动态短信 URL 和 前端输入的被攻击者手机号码,发送 HT...

			
		

	





	

		

			

				
					
避免短信接口被黑客攻击的方式

				
			

			

				

					WLANQY的博客
				

				

					01-16
					
					351
					
				

			

		

		

			
				
这里为大家介绍了四个简单易行的避免短信服务接口被调用的方法,以及实际使用中的注意事项。限制短信的发送频率,限制同一电话号码、同一IP的短信发送次数,增加图形验证码,增加短信防火墙,都可以提高黑客攻击接口的难度。在实际的接口防护中,组合使用可以大大降低企业接口被攻击的风险,但是要注意确保真实用户的使用体验。防护方案最好在对接短信接口时同时实施,避免受到攻击后因难以立即发布新的应用版本遭受损失。作者:香芋味的猫丶。

			
		

	





	

		

			

				
					
网络安全之短信验证码接口攻击短信接口会被黑客调用,以攻击手机号为目的刷网站短信,如果短信验证码端口不做任何限制,不仅对用户造成骚扰,更会浪费你的短信余额,降低品牌形象,常见的防护手段,增加前端验证码

				
			

			

				

					weixin_54048131的博客
				

				

					05-28
					
					415
					
				

			

		

		

			
				
短信接口会被黑客调用攻击手机号为目的刷网站短信



恶意刷取目标网站的短信费用

解决方法给移动打电话报套餐,或者跟中国电信和移动联通

解决方法 增加前端验证码



滑块点击等方式,对单个ip做出限制



防止攻击者同Ip下不同,超过最大阀值,将不予以返回短信



腾讯验证码等等


			
		

	





	

		

			

				
					
如何防止恶意点击手机短信验证码

				
			

			

				

					yeisman的专栏
				

				

					03-23
					
					4358
					
				

			

		

		

			
				
一、
易遭恶意使用的场景或网站

1、
网络在线投票站(需要填写手机号码进行校验)

2、
用户在线注册页面(包含手机短信验证功能)

3、
手机短信动态密码登录




二、
恶意点击手机短信验证码的途径

用户恶意点击手机短信验证码主要有两种途径,一种是人工频繁点击;一种是通过软件连续点击,就危害性来说,软件连续点击的危害要大的多。




三、


			
		

	





	

		

			

				
					
阿里云短信通道被人恶意刷了几万条短信,怎么办?(短信接口被盗刷系列3)

				
			

			

				

					
				

				

					02-23
					
					12万+
					
				

			

		

		

			
				
公司的商城网站刚上线运营不到一个星期,网站就被攻击了,导致公司网站的短信通道被人恶意刷了几万条短信,损失较大,同时服务器也遭受到了前所未有的攻击。CPU监控看到网站在被盗刷短信验证码的时候,CPU一直保持在%95,网站甚至有些时候都无法打开。
网站被攻击后我登录了阿里云进去看了下,受到了很多阿里云提示的安全提醒,阿里云竟然没有给我拦截,我打电话咨询阿里云,阿里云竟然说我没有购买他们的云防火墙,阿里云客服还一再的推销让我们公司购买他们的云防火墙来防止短信验证码攻击,本身我也是做技术出身的,还是懂一些代码以及安

			
		

	





	

		

			

				
					
短信接口恶意调用,瞬间损失两万,怎么解决?

				
			

			

				

					weixin_46641057的博客
				

				

					02-03
					
					993
					
				

			

		

		

			
				
前两天的中午像往常一样热,太阳不知疲倦的在天空燃烧,热跑了云彩和鸟儿,马上就要点燃空气和我的脑神经。为我和电脑降温的,是我简陋的书桌上的小电扇,没有它的话,键盘太热,我可能就要写不下去代码了。

正在此时,旁边的手机嗡嗡的震了两声,对于手机从来不敢开铃声的人来说,这个震动的声音实在太熟悉了,不用说,应该是广告短信,或者有人加我微信好友了。因为短信我基本上从来不看,微信消息不会有提示,只有加好友才有,由于最近有不少朋友看到我写的文章,所以每天加我好友的还是不少的,我都是找空闲时间统一处理。所以,我还是继续写我

			
		

	





	

		

			

				
					
华信短信平台接口文档:手机验证码服务详解

				
			

			

				

					
				

			

		

		

			
				
手机短信验证码接口文档详细阐述了如何通过该平台发送验证码,维护账户安全,以及如何根据业务需求调整接口调用。它对于开发者来说是实现用户验证和账户管理的关键工具,确保了服务的稳定性和安全性。同时,了解这些...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值