短信通道防盗刷,短信发送策略

最新推荐文章于 2024-07-31 11:48:25 发布
最新推荐文章于 2024-07-31 11:48:25 发布
阅读量894 收藏 4
点赞数
分类专栏: java 文章标签: 短信放盗刷 短信风控策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyue23com/article/details/107692295
版权

一、短信通道防盗刷方案

一、使用安全图形验证码,增加识别难度,防止通过自动化工具进行攻击请求;
规则:使用手滑动形式的验证码。
二、限制每个手机号的发送次数;
规则:每个手机号每天最多只能发10条短信;   
三、单Ip的请求次数限制,防止攻击者对服务器进行大量无效请求(在图形验证码未破解的情况下,自动化工具行程错误请求),增加服务器负担;
规则:限制单IP每天请求次数不能超过10次。
四、单用户动态短信请求间隔时长限制,防止对单个用户形成手工攻击,防止图形验证码失效后对用户形成大量攻击;
规则:单用户请求短信时间间隔为“60秒”;    
五、增加IP黑名单库,在黑名单库的Ip永久不能获取验证码;管理员可以手动添加IP黑名单,可以手动删除黑名单;
黑名单规则:
1)同一号码在同一天内发送超过10条短信; 
2)同一IP在1分钟内出现3次以上; 
3)同一IP在30分钟内超过5次以上;
4)同一IP在60分钟内出现10次以上 ; 
5)同一IP在48*60内出现20以上 ;

以上为方案参考

二、参数配置短信策略

在这里插入图片描述

三、代码实现

技术方案:
1.将参数存入redis缓存,每次从缓存中获取参数;
2.短信间隔60秒用redis缓存,有效期设置为60秒
3.请求次数存入redis,每次请求加1,到达上限则限制发送短信

====短信策略Service类

package com.shijie.box.service;

import com.shijie.box.db.util.StringUtil;
import com.shijie.box.util.IpUtil;
import com.shijie.box.vo.ApiResult;
import com.shijie.box.vo.SmsFangweiSendRequest;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.util.concurrent.TimeUnit;

/**
 * 短信发送策略  wy
 * 2020/7/29
 */
@Service
public class SmsPolicyService {
	private static final Logger logger = LoggerFactory.getLogger(SmsPolicyService.class);

	private static final String MOBILE_PROFIX = "SMS_MOBILE_";//短信手机号缓存类型
	private static final String IP_PROFIX = "SMS_IP_";//短信手机号缓存类型
	private static final String SMSTIME = "SMSTIME_";//短信手机号缓存有效时长

	private static final String SMS_IP_BLACK_LIST = "SMS_IP_BLACK_LIST";//【短信策略】IP黑名单,以";"间隔
	private static final String SMS_IP_WHITE_LIST = "SMS_IP_WHITE_LIST";//【短信策略】IP白名单,当前IP不做任何策略限制,以“;”间隔
	private static final String SMS_TIME_SPACING = "SMS_TIME_SPACING";//【短信策略】单用户(IP)请求短信时间间隔为“60秒”
	private static final String SMS_COUNT_PER_IP = "SMS_COUNT_PER_IP";//【短信策略】限制单IP每天请求次数不能超过10次
	private static final String SMS_COUNT_PER_MOBILE = "SMS_COUNT_PER_MOBILE";//【短信策略】每个手机号每天最多只能发10条短信


	@Autowired
	com.shijie.box.db.util.RedisUtil redisUtil;

	@Resource
    com.shijie.box.db.dao.SxbSysParameterMapper SxbSysParameterMapper;

	/**
	 * 短信发送策略
	 * @param request
	 * @return
	 */
	public ApiResult policy(SmsFangweiSendRequest parameter, HttpServletRequest request) {
		ApiResult rest=new ApiResult("0000","短信策略通过");
		String ipAddr = IpUtil.getIpAddr(request);
		String whiteList = redisUtil.get(SMS_IP_WHITE_LIST);//ip白名单
		//如果缓存中未存短信策略,则开始缓存
		if(StringUtil.isEmpty(whiteList)){
			refreshSMSPolicy();
			whiteList = redisUtil.get(SMS_IP_WHITE_LIST);//ip白名单
		}

		//=======如果是IP白名单,直接通过策略===============//
		if(whiteList.indexOf(ipAddr)>=0){
			logger.info("[短信策略]请求IP:"+ipAddr+",IP白名单放行");
			return rest;
		}

		//===========如果ip黑名单,则直接返回,不通过策略===============//
		String blackList = redisUtil.get(SMS_IP_BLACK_LIST);//ip黑名单
		if(blackList.indexOf(ipAddr)>=0){
			logger.info("[短信策略]请求IP:"+ipAddr+",IP黑名单,做拦截");
			return new ApiResult("0001","未发送,当前ip:"+ipAddr+"已被限制发送短信,请联系管理员");
		}

		//================【短信策略】限制单IP每天请求次数不能超过10次================//
		int SMSIpCount = Integer.parseInt(redisUtil.get(SMS_COUNT_PER_IP));
		String ipCountKey = IP_PROFIX+ipAddr;
		int ipCount = StringUtil.isEmpty(redisUtil.get(ipCountKey))?0: Integer.parseInt(redisUtil.get(ipCountKey));
		if(ipCount>=SMSIpCount){
			logger.info("[短信策略]请求IP:"+ipAddr+",当前IP,今日发送短信次数过多,已超过"+SMSIpCount+"次");
			return new ApiResult("0002","当前IP今日发送短信次数过多,已超过"+SMSIpCount+"次");
		}

		//================【短信策略】每个手机号每天最多只能发10条短信================//
		int SMSMobileCount = Integer.parseInt(redisUtil.get(SMS_COUNT_PER_MOBILE));
		String mobileCountKey = MOBILE_PROFIX+parameter.getMobile();
		int mobileCount = StringUtil.isEmpty(redisUtil.get(mobileCountKey))?0: Integer.parseInt(redisUtil.get(mobileCountKey));
		if(mobileCount>=SMSMobileCount){
			logger.info("[短信策略]请求IP:"+ipAddr+",当前手机号"+parameter.getMobile()+",今日发送短信次数过多,已超过"+SMSMobileCount+"次");
			return new ApiResult("0002","当前手机号今日发送短信次数过多,已超过"+SMSMobileCount+"次");
		}

		//================【短信策略】单用户(IP)请求短信时间间隔为“60秒”============//
		String rediskeyIp = SMSTIME+ipAddr;
		Long smsTimeSpacing = Long.parseLong(redisUtil.get(SMS_TIME_SPACING));//【短信策略】单用户(IP)请求短信时间间隔为“60秒”
		if(!StringUtil.isEmpty(redisUtil.get(rediskeyIp))){
			logger.info("[短信策略]请求IP:"+ipAddr+",请勿频繁请求,再次获取请间隔");
			return new ApiResult("0002","请勿频繁请求,再次获取请间隔"+smsTimeSpacing+"秒");
		}


		//================【短信策略】限制单IP每天请求次数不能超过10次===当前为修改缓存中的次数=============//
		if(ipCount==0){
			redisUtil.setEx(ipCountKey,++ipCount+"",86400, TimeUnit.SECONDS);//1天
		}else{
			redisUtil.setEx(ipCountKey,++ipCount+"",redisUtil.getExpire(ipCountKey), TimeUnit.SECONDS);
		}

		//================【短信策略】每个手机号每天最多只能发10条短信====当前为修改缓存中的次数============//
		if(mobileCount==0){
			redisUtil.setEx(mobileCountKey,++mobileCount+"",86400, TimeUnit.SECONDS);//1天
		}else{
			redisUtil.setEx(mobileCountKey,++mobileCount+"",redisUtil.getExpire(mobileCountKey), TimeUnit.SECONDS);
		}

		//================【短信策略】单用户(IP)请求短信时间间隔为“60秒”====当前为修改缓存中的秒数========//
		//设置当前ip再次发送短信时间间隔为60秒
		redisUtil.setEx(rediskeyIp,ipAddr,smsTimeSpacing, TimeUnit.SECONDS);

		return rest;
	}

	/**
	 * 刷新短信发送策略缓存
	 */
	public void refreshSMSPolicy(){
			//设置缓存有效期为2天,两天后发送短信时候,会再次加载此缓存
			redisUtil.setEx(SMS_IP_BLACK_LIST,SxbSysParameterMapper.selectByPrimaryKey(SMS_IP_BLACK_LIST).getpValue().trim(),2, TimeUnit.DAYS);
			redisUtil.setEx(SMS_IP_WHITE_LIST,SxbSysParameterMapper.selectByPrimaryKey(SMS_IP_WHITE_LIST).getpValue().trim(),2, TimeUnit.DAYS);
			redisUtil.setEx(SMS_TIME_SPACING,SxbSysParameterMapper.selectByPrimaryKey(SMS_TIME_SPACING).getpValue().trim(),2, TimeUnit.DAYS);
			redisUtil.setEx(SMS_COUNT_PER_IP,SxbSysParameterMapper.selectByPrimaryKey(SMS_COUNT_PER_IP).getpValue().trim(),2, TimeUnit.DAYS);
			redisUtil.setEx(SMS_COUNT_PER_MOBILE,SxbSysParameterMapper.selectByPrimaryKey(SMS_COUNT_PER_MOBILE).getpValue().trim(),2, TimeUnit.DAYS);
	}
}

====短信发送Controller

@Controller
@RequestMapping("/sms/fangwei")
@Api("短信相关接口")
public class SmsFangWeiApi {
	@Autowired
	private HttpServletRequest request;
	@Autowired
	private  SmsFangweiService service;

	@PostMapping("/send")
	@ApiOperation("发送短信api")
	@ResponseBody
	public ApiResult<String> send(@RequestBody  SmsFangweiSendRequest  SmsFangweiSendRequest) {

		ApiResult<String>	 rest= service.send(SmsFangweiSendRequest,request) ;

		return rest;
	}
}

=====发送短信service

@Service
public class SmsFangweiService {

    private static final Logger logger = LoggerFactory.getLogger(SmsFangweiService.class);

    @Autowired
    private SmsPolicyService SmsPolicyService;

    public  String send(SmsFangweiSendRequest request, HttpServletRequest httpServletRequest) {
        logger.info("进入短信发送策略{}","短信策略参数配置");
        //=========短信策略,0000代码策略通过================//
        ApiResult policy = SmsPolicyService.policy(request, httpServletRequest);
        //如果通过策略则走发短信流程
        if("0000".equals(policy.getError_code())) {
            //发送短信方法
            sendSMS();
        }else{
            logger.info("【未通过短信策略】,"+policy.getMessage());
        }

        if(!"0000".equals(policy.getError_code())){
            return "error";
        }else {
            return "success";
        }
    }
}

代码中用到的两个IPUtil和RedisUtil下载链接:
链接:https://pan.baidu.com/s/1KE0_wXvbqaK2hQR0Ikc_gg
提取码:4ujn

以上如果获取手机流量的IP不准确,可以参考文章:
java获取手机IP地址不准确解决
https://blog.csdn.net/wangyue23com/article/details/107764209

wangyue23com
关注
专栏目录
商家平台短信防盗解决方案
m0_61627247的博客
02-23 321
很多商家平台都有对接短信功能来验证用户的真实性,这个本来是一个很正常的业务需要,但是却被一些有心人用程序进行频繁请求发送,造成短信被恶意发送,那么短信防盗就是非常必要的一件事,商家平台在上线前都需要确认,今天我们来发一下短信防盗解决方案。 方案一:获取手机验证码的功能放在外面: 1、系统要检测箭头项目全部填写完全后才能进入获取验证码流程; 2、设置同一ip同一天请求次数不要超过5次; 3、设置相同号码获取手机验证码的时间间隔超过60秒; 4、设置相同手机号码一天内只能提交2次; 5、做图形验
听云短信接口安全测试,你的短信接口到底有多危险,可能瞬间损失过万,短信接口防盗测试
03-05 395
– “隐患险于明火,防范胜于救灾,责任重于泰山” 安全问题不容忽视,不要亡羊补牢!前言一丶找到对外短信接口二丶分析外部防御措施三丶查看请求报文四丶分析测试1. 直接在浏览器测试2. 用代码进行测试五丶结果分析六丶结语 前言 本文详细介绍了针对发送短信验证码接口的安全性测试过程,包含思路、部分测试代码已经测试结果。 本次测试网站 —听云(tingyun.com) 听云是一家提供数字化运维服务的网站,给运维人元提供数字化运维后台,能为运维工作提供便利。 一丶找到对外短信接口 从该网站注册入口可以发现,有.
防止短信被盗
weixin_34250709的博客
05-09 160
2019独角兽企业重金招聘Python工程师标准>>> ...
短信接口被恶意盗
最新发布
m0_70754056的博客
07-31 456
isRequestAllowed方法接收 IP 地址作为参数,通过incr方法增加对应 IP 的请求计数,如果是首次请求(计数为 1),则设置该键的过期时间为指定的时间窗口。3. 请求次数限制:利用redis的incrby实现计数,增加ip次数限制和总的请求次数限制,例如限制同一ip在指定时间段内(如5分钟)的请求次数上限,以及设置整个系统在特定时间段内(如5分钟)的总请求量阈值;7. 周期性修改接口:随着项目迭代升级,随机变更重点接口的请求地址,前后端同步更新,降低接口被长期攻击的风险。
短信接口防盗
weixin_61997998的博客
04-10 245
短信防盗,关键技术解析.
消息的发送策略
方新德的博客
02-25 487
持久化消息 默认情况下,生产者发送的消息是持久化的,消息发送到broker以后,producer会等待broker对这条消息的处理情况的反馈。 可以设置消息发送发送持久化消息的异步方式。   非持久化消息...
短信接口防盗解决方案
Java知识图谱的博客
04-12 3773
一、序言 在Web开发中,总有一些接口需要暴露在用户认证前访问,短信发送接口特别是短信验证码注册接口便是其中典型的一类,这类接口具有如下特点: 流量在用户认证之前 流量在用户认证之前,意味着无法获取用户ID等唯一标识符信息对流量限流 手机号未知 手机号未知意味着无法对待发送短信的手机号做精准检测,判断是否是合法的手机号。通过正则表达式判断手机号连号过多,容易滋生短信。 本文将重点聚焦接口的防盗实践。 二、盗流量 在解决防盗之前先认识盗流量的特点和防盗的目标。 (一)防盗的目标 1、减
java短信策略,防止短信,阿里云短信通道短信通道安全策略,防短信轰炸
01-15
短信策略防盗,防短信轰炸。 短信通道防盗方案: 1.使用安全图形验证码,增加识别难度,防止通过自动化工具进行攻击请求; 2.每日限制每个手机号的发送次数; 3.单Ip的请求次数限制,防止攻击者对服务器进行大量...
安全测试 : 搜狗(sogou.com)网站短信接口安全测试,短信接口防盗测试
04-12 1288
– “隐患险于明火,防范胜于救灾,责任重于泰山”
对接阿里云短信发送
Smile_Sunny521的博客
09-30 428
对接阿里云短信 1.配置sdk: <!--阿里云短信SDK--> <dependency> <groupId>com.aliyun</groupId> <artifactId>aliyun-java-sdk-core</artifactId> </dependenc...
短信接口怎么对接最安全?如何防止盗
qq_31949853的博客
12-12 2776
大多系统在做注册、登录、找回密码、修改密码等功能时,往往需要发送短信验证码来确定当前操作者即为该账号的所属者,来保障账号的安全。 发送一条短信费用大概在0.03-0.04之间,对于正常的使用,勉强是可以接受的。 如果控制不好,会被滥用,花钱不说,对用户造成不好的体验。 如何防止短信接口被滥用、盗用? 1、前端增加时间限制,如:js控制60秒后才能继续发送(但不用等60秒,新后又能获取) ...
阿里云短信通道被人恶意了几万条短信,怎么办?(短信接口被盗系列3)
热门推荐
02-23 12万+
公司的商城网站刚上线运营不到一个星期,网站就被攻击了,导致公司网站的短信通道被人恶意了几万条短信,损失较大,同时服务器也遭受到了前所未有的攻击。CPU监控看到网站在被盗短信验证码的时候,CPU一直保持在%95,网站甚至有些时候都无法打开。 网站被攻击后我登录了阿里云进去看了下,受到了很多阿里云提示的安全提醒,阿里云竟然没有给我拦截,我打电话咨询阿里云,阿里云竟然说我没有购买他们的云防火墙,阿里云客服还一再的推销让我们公司购买他们的云防火墙来防止短信验证码攻击,本身我也是做技术出身的,还是懂一些代码以及安
短信通道使用指南
CodingFire的博客
09-18 1160
今天博主要说的短信通道有三家:网易云信,极光,阿里。 先说说博主用的是网易云信,也是冲着大品牌去的,但是实际效果却很不理想,到达率低,客服态度差,信息审核慢,沟通困难,这是网易云信暴露出来的几大问题,所以很不推荐大家使用。此处评价,客观,真实,不存在诽谤行为,有截图为证,杠精请绕行。 通过朋友介绍,也了解过其他的短信平台,其中极光算是做短信比较老的一家了,整体到达率还是不错的,同时阿里因为自身平台...
如何防范短信接口被恶意调用(被
weixin_30892889的博客
08-07 302
鉴于之前遇到过短信接口被的问题,解决的不是很好。现发现一篇如此高质量博客,特此收藏分享~ 一、什么是短信轰炸(短信接口被)   短信轰炸一般基于 WEB 方式(基于客户端方式的原理与之类似),由两个模块组成,包括:一个前端 Web 网页,提供输入被攻击者手机号码的表单;一个后台攻击页面(如 PHP),利用从各个网站上找到的动态短信 URL 和 前端输入的被攻击者手机号码,发送 H...
106短信通道等6种常见短信通道介绍,你了解多少呢
cr6868的博客
08-04 3652
第1种:106短信通道 这是三大运营商开放的通道,一般用于企业发送验证码、会员通知或会员营销,其中移动号码发件人人显示的是10657/10658开头,联通显示10655开头,电信显示10659开头,如果有的企业发送量特别大,有可能享受106通道或三网合一的通道,这种会经过网关客服人工审核和系统通道双重检测,号码接收成功与否的状态信号会反馈到网关后台,可以检测到实际成功率。106短信根据展示效果有以下5种: ①普通文字短信:可以展示公司【签名】,内容,地址,或联系方式、正规网址链接等,70个字符以内按一条短信
短信通道模板开发
写给自己的博客
12-09 1009
制作新的通道模板 该主题是针对SendGateway模块,如果需要接入新的第三方通道,则需要开发一套相应的模板。并注册到系统中,才能正常使用。Hx.SmsPlatform.Common.dll该程序集文件中,包含了开始模板时所需的相关类型与接口。 本软件是基于.net 4.5开发,所以开发模板也需要基于.net 4.5。 注:详细代码可以参考开发模板示例文件夹下的 Hx.SmsPlatfo...
营销短信API专用通道
quntunu的专栏
09-08 1411
营销短信API专用通道  营销短信专用通道是由haoservice提供的综合性短信开链接服务,通过该服务您可以给指定的手机发送营销短信。营销短信相同的内容需要同一批次提交,单次100条以上起发。 http://www.haoservice.com/docs/48 请求参数: 名称          类型 必填       说明 key    string 是 API KEY mo
如何选择适合的短信通道
亿美软通的博客
09-16 332
近年来,随着国家对信息安全的重视,要求所有的手机号码都必须实名注册,因此,短信营销成了目前唯一可以实现精准营销的工具。无论是在信息安全验证还是企业营销推广上,短信的应用场景越来越广泛。那么,企业要如何来利用短信营销来实现精准营销,达到引流的目的呢? 1、选择一个靠谱的短信平台 企业做短信营销的前提自然是选择一个靠谱的短信平台进行合作。虽然,近年来,由于短信市场的混乱,垃圾短信、诈骗短信泛滥成灾,严重影响了民众的日常生活,引发了国家有关部门对短信市场的大力整顿,但是仍然不乏一些商家以次充好,虚假宣传。一个
短信通道的区别
小菜鸟的天地
01-10 4046
三网合一通道: 1、显示号码-1069...; 2、独享 3、接收手机类型-移动、联通、电信都可以; 4、支持上行(短信回复)。  移动通道: 1、显示号码-10657...; 2、共享通道  可申请独享 3、移动DIY通道-有签名,企业独享 4、接收手机类型-移动 5、支持上行(短信回复)。   联通通道: 1、显示号码-10655...; 2、共享通道  可申请
Spring Boot反爬虫与接口防盗解决方案
本文档探讨了如何在Spring Boot应用中实现一个强大的反爬虫策略,防止接口被盗,主要关注于kk-anti-reptile库的应用。该库是基于Spring Boot 1.x和2.x版本开发的,利用Redis作为数据存储支持,以Servlet规范的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wangyue23com

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值