动态短信验证码安全防护方案

最新推荐文章于 2024-07-10 14:33:08 发布
最新推荐文章于 2024-07-10 14:33:08 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37647084/article/details/60139260
版权
1、IP限定——根据自己的业务特点,设置每个IP每天的最大发送量(防止攻击者对服务器进行大量无效请求( 在图片验证码未破解的情况下,自动化工具形成错误请求,增加服务器负担 )

2、短信发送间隔设置——设置同一号码重复发送的时间间隔,一般设置为60-120秒( 防止对单个用户形成手工攻击;防止图片验证码失效后对用户形成大量攻击。 )

3、手机号码限定——根据业务特点,设置每个手机号码每天的最大发送量

4、流程限定——将手机短信验证和用户名密码设置分成两个步骤,用户在设置成功用户名密码后,下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验。

 5、绑定图型校验码——将图形校验码和手机验证码进行绑定,这样能比较有效的防止软件恶意注册( 防止通过自动化工具进行攻击请求 )
生成过程安全:图片验证码必须在服务器端进行产生与校验;
使用过程安全:单次有效,且以用户的验证请求为准;
验证码自身安全:不易被识别工具识别,能有效防止暴力破解;
江南_风少
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
短信验证码接口安全防护措施
mandaoduanxin的博客
02-26 2916
在上一篇《短信验证码接口攻击(短信轰炸)原理分析》,我们了解了验证短信接口遭受短信轰炸的原理,本篇将和大家介绍下具体的防护措施。我们知道短信轰炸形成的原因是因为非授权的动态短信获取,如用户注册时的手机验证短信,在用户获取验证短信前系统并不能建立业务关联。因此,在未建立业务关联的情况下,需要进一步严格限制保证业务使用的安全性。我们可以综合采用:增加图片验证、IP请求次数限制、单用户请求间隔时长...
发送短信验证码实现方案
weixin_34319999的博客
03-20 591
二.开发实现方案 经刚才沟通, 1.    架构变更:开通钱包实体到短信平台防火墙。 生成验证:JAVA随机数生成6位验证 验证存储:前期建议采用DB表存储,等后期评估数据量后再转为Redis存储。前期以实现功能为主。 验证有效期:60s 保证验证有效期:通过两个JAVA时间戳比对。如果用redis的话,就用redis的过期时间 ...
程序员之网络安全系列(六):动态
weixin_34221775的博客
01-13 548
系列目录 程序员之网络安全系列(一):为什么要关注网络安全? 程序员之网络安全系列(二):如何安全保存用户密及哈希算法 程序员之网络安全系列(三):数据加密之对称加密算法 程序员之网络安全系列(四):数据加密之非对称秘钥 程序员之网络安全系列(五):数字证书以及12306的证书问题 程序员之网络安全系列(六):动态 前文回顾 程序员之网络安全系列(二):如何安全保存用户密及哈希算法 ...
SpringBoot实现分布式验证登录方案
最新发布
犬小哈
07-10 54
来源:畜君???? 欢迎加入小哈的星球,你将获得:专属的项目实战 /1v1 提问/Java 学习路线 /学习打卡/每月赠书/社群讨论新项目:《从零手撸:仿小红书(微服务架构)》正在持续爆肝中,基于 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17...,点击查看项目介绍;《从零手撸:前后端分离博客项目(全栈开发)》2期已完结,演示链...
短信验证码方案
m0_51193657的博客
10-09 441
短信验证码方案 1.阿里云短信服务 文档参考: https://help.aliyun.com/document_detail/112147.html?spm=a2c4g.11174283.6.645.63ab2c42VRxwso 1.1 创建AccessKey AccessKey ID和AccessKey Secret是您访问阿里云API的密钥,具有该账户完全的权限。创建之后,会生成 AccessKeyID和Access Key Secret两部分信息。 AccessKey ID: Access
短信验证码安全防护方案
深漂小码哥
02-07 485
一个用来校验注册短信验证码方案
taotaobaobei的博客
10-22 782
function create(){ $str=1111; $end=9999; $salt=array("H","E","L","L"); $str=rand($str,$end); $a=$str.$str%ord($salt[0]); //ord() 函数返回字符串的首个字符的 ASCII 值 $str=rand($str,$end); $a=$str.$str%ord(...
web开发验证生成和验证校验
broccoli2的博客
06-14 800
首先创建生成验证的java实体类,这个类是Struts的action类型的。 如下:CheckImgAction.javapackage cn.edu.imau.shop.user.action;import java.awt.Color; import java.awt.Font; import java.awt.Graphics; import java.awt.Graphics2D; im
spring security 实现动态权限和短信验证码登录
07-23
在这个场景中,我们探讨的是如何利用Spring Security实现动态权限管理和短信验证码登录,并结合JWT(JSON Web Tokens)和Redis来提升系统的效率和安全性。 首先,让我们深入了解Spring Security的基础。Spring ...
短信验证码
10-24
**安全防护方案**:为了防止恶意攻击,通常会限制短信验证码的发送频率,例如每分钟或每小时只能发送一定数量的验证。此外,还可以设置IP黑名单,禁止特定IP地址的请求,或者使用验证图像,防止自动化脚本自动...
java验证方案
03-21
NULL 博文链接:https://killeraction.iteye.com/blog/946300
验证攻击方案
04-03
未登录状态下防验证攻击方案,PC、手机均通用。未登录状态包括注册、找回密等功能
新用户注册之验证短信、语音解决方案
m0_61627247的博客
03-22 784
新用户注册场景解决方案 在用户注册验证手机号环节,用户可能会遇到以下两个主要问题: 产生原因 因为新用户注册页面暴露在公开的网络环境中,任何人都可以调用该功能;部分违规软件会利用这一特点,会模拟人工大量获取短信验证码; 不利后果 因为软件可以高并发循环请求短信,所以会导致如下一些不利后果: 贵公司的的短信被大量恶意消耗; 因为短信是以贵公司名义发出的,所以会对贵公司的品牌造成一定的负面影响; 被骚扰的用户可能会进行投诉,会对贵公司的短信正常发送、短信通道安全稳定造成一定影响。 我们的方案 ...
验证设计中常见的安全问题
cfylove的专栏
05-16 1538
本文非原创,摘自网页 验证设计中常见的安全问题验证的英文缩写是CAPTCHA,即:Completely Automated Public Turing test to tell Computers and Humans Apart译作”全自动人机区分的图灵测试”。时下图形验证的应用已经非常广泛了,无论是在web应用还是客户端软件中。主要是用来防止字典攻击(或称暴力猜解)、机器注册等。可惜的是,
[ 浅谈web网站验证生成方案之一 ]
u010989191的博客
04-16 1236
1.前言web系统注册登录界面存在验证验证信息已不再是新鲜事,现在的验证生成策略有很多种,以往有单纯数字、单纯字母、字母数字组合。现在出现一些中文验证和图片验证。 要想了解中文验证和图片验证是如何实现的,首先要了解字母数字之类的验证如何实现,这个掌握后,中文验证和图片验证将轻而易举。 闲暇之余实现了验证生成器GenerateValidImage.java类,如需自取: 2.介绍Generat
短信验证码安全常见逻辑漏洞
热门推荐
12306小哥
03-07 2万+
短信验证码安全常见逻辑漏洞声明:此文转自http://www.lx598.com/hangyedongtai/978.html (短信验证码安全常见漏洞)       短信验证码常被用于网站用户注册、账户安全登录以及忘记密、确认下单等应用场景,特别是一些涉及到用户个人敏感行为时候,为了确认操作是用户本人执行的通常会使用短信验证码进行二次认证。      在实际应用中,有很多产品的短信验证码接口存...
谷歌验证 ReCAPTCHA 的模拟点击破解方案来了!
静觅
05-26 1万+
这是「进击的Coder」的第631篇技术分享作者:崔庆才大家好,我是崔庆才。之前的时候我分享过 ReCAPTCHA 的破解方案,那种方案是获取到 ReCAPTCHA 其中的一个 SiteKey,然后将 SiteKey 直接提交给 ReCAPTCHA 相关的破解服务来实现破解,文章见:我又找到了一个破解谷歌验证的新方案!这次,我们再来介绍一种更灵活更强大的全模拟点击破...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值