短信发送接口被恶意调用--记一次救火经历

最新推荐文章于 2024-07-31 11:48:25 发布
最新推荐文章于 2024-07-31 11:48:25 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: 救火经历
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42448634/article/details/82857648
版权
本文讲述了Z项目遭遇恶意调用短信接口的问题,分析了问题原因在于接口暴露且无验证措施。紧急停用接口后,提出了限制IP和手机号请求次数、增加黑名单、停用主动发送验证码、图形验证码等解决方案,并选择了图形验证码作为最佳补救措施。事后反思,强调了接口安全的重要性,对受影响用户表达了歉意。
摘要由CSDN通过智能技术生成

-- “隐患险于明火,防范胜于救灾,责任重于泰山”

上周三早上接到Z项目组小伙伴的求助:短信发送接口被恶意调用了,注册验证码短信在不停被发送,短信平台已经封了我们的发送通道,调用方还在孜孜不倦地调用接口,怎么搞?

Z项目是三年前进行的第一版上线,三年来一直由我们的小伙伴做更新与维护。这个问题出现后,赶紧回顾项目的相关内容。

一、回顾项目

Z项目在三年前初始上线,当时主要用户为公司内部人员,支持移动端使用。上线前时间紧迫,最简单的实现流程就是“填写手机号”->“发送验证码”->“填写验证码”->“完成注册”。同时,在这个流程中增加了一些限制:

  1. 手机号A在1分钟内只允许发送一次验证码a;
  2. 验证码a未使用的情况下,保持2分钟有效;
  3. 手机号A在1分钟后允许请求发送第二次验证码b,同时验证码a失效;
  4. 短信平台控制在一天内只能向手机号A发送X次短信(X由短信平台统一控制)。

这几条限制能保证手机号A不会产生太多次的短信请求,看似能控制住短信的成本,当时上线前也认为这样对于内部人员使用是可控的,没再进行更多分析。后续三年内系统的使用人员范围有了很大的扩展,目前Z项目的使用对全部互联网用户公开。用户范围的扩大带来更多的是处理业务、代码、数据的同步增长,唯独没有对“短信验证码发送”这样一个看似“小小的”功能是否依然合理进行过思考。

二、发现问题

问题表象很明显:恶意攻击者发现了我们的接口,并进行了利用。

那我们的问题也就一目了然&#x

最低0.47元/天 解锁文章
TenToEleven
关注
专栏目录
详解AXI4-Stream接口(2)--AXI4-Stream接口IP源码分析及仿真
孤独的单刀
11-22 1万+
通过本文您会学到:如何对AXI4-Stream接口IP的源码进行分析
短信验证--阿里云短信验证码接口
Snow、杨
10-24 4221
前言 公司最近项目需要一个手机验证码的功能,任务确定后,倍感亚历山大,以为和第三方对接的都好麻烦,查阿里的API、网上大神写的博客,各种查之后才发现,简单的一塌糊涂,这里想说个问题,不知道其他的攻城狮们是不是和我一样的心里,刚接触个没做过的任务时,会一脸懵里的着急,无从下手的感觉,后来会了,就觉得简单的一*,在这里我说一下自己的体会,遇到任何难点,先理思路、任务拆分、逐个查资料,其实一套下来,就...
接口恶意请求,该如何处理?
古猿写代码
03-27 571
接口恶意请求,该如何处理?防火墙:配置防火墙规则,限制对API接口的访问频率和来源IP,防止大量无效请求。验证码:在需要保护的接口中添加验证码验证,要求用户在访问前先进行验证码验证,以确认其为真实用户。IP限制:限制对API接口的访问仅限于特定IP范围,例如只允许内网或特定合作伙伴的IP访问。接口访问频率限制:设置访问频率限制,例如每分钟/每小时/每天只允许一定次数的请求,超出限制则返回错误信息或封禁IP。
怎样设计一个安全的短信接口
weixin_46641057的博客
03-01 583
-- “隐患险于明火,防范胜于救灾,责任重于泰山” 某一次“看似合理”的决定就注定了自己挖好了坑,掉进自己挖的坑里是早晚的事,暴露在互联网上的所有入口,安全性容不得任何一丝的“看似合理”。
短信接口恶意盗刷
最新发布
m0_70754056的博客
07-31 489
isRequestAllowed方法接收 IP 地址作为参数,通过incr方法增加对应 IP 的请求计数,如果是首次请求(计数为 1),则设置该键的过期时间为指定的时间窗口。3. 请求次数限制:利用redis的incrby实现计数,增加ip次数限制和总的请求次数限制,例如限制同一ip在指定时间段内(如5分钟)的请求次数上限,以及设置整个系统在特定时间段内(如5分钟)的总请求量阈值;7. 周期性修改接口:随着项目迭代升级,随机变更重点接口的请求地址,前后端同步更新,降低接口被长期攻击的风险。
短信接口恶意调用(二)肉搏战-阻止恶意请求
Elinor2017的博客
06-19 419
作者:13 GitHub:https://github.com/ZHENFENG13 版权声明:本文为原创文章,未经允许不得转载。 前言 承接前文《短信发送接口恶意访问的网络攻击事件(一)紧张的遭遇战险胜》,在解决了短信发送的问题后,长长地舒了口气,也就各忙各的事情去了,本以为应该是个完美的收场,哪知道只是泥泞道路的前一段,收场是收不了了,还是要去应付接下来的烂摊子,因为攻击者并没...
短信接口恶意调用?企业短信防火墙+【中昱维信】短信验证码【Java】
01-31 9万+
在用户登录、注册环节,为了防止机器攻击,一般要通过短信验证来解决,但引入短信验证码机制后,验证短信又可能被攻击, 为了防止短信验证机制被攻击, 传统做法是增加谷歌图形验证码,但在AI能力迅猛发展的时代却形同虚设, 新昕科技在交易反欺诈核心上, 通过AI快速学习机制,结合国际领先的设备指纹技术,首次推出无需图形验证码机制的企业短信防火墙
Android短信发送相关的恶意行为
La0sj的博客
03-07 546
SmsManager smsManager = SmsManager.getDefault(); smsManager.sendTextMessage(phoneNumber, null, text, null, null);先说几个发短信相关的API ArrayList<String> divideMessage(String text) 这个方法把一个消息文本分成几个片段,最大不能大于短信
快速对接第三方接口--短信接口
kanglong0714的博客
07-02 3125
第一章 短信发送接口 1.1 请求地址 请求地址是客户接口程序调用时请求的url地址,采用的是https post 接口,地址是 http://sh2.ipyy.com/sms.aspx 对应UTF-8 http://sh2.ipyy.com/smsGBK.aspx 对应GB2312 http://sh2.ipyy.com/smsJson.aspx 对应UTF-8(返回值为json格式) http://sh2.ipyy.com/ensms.ashx 对应UTF-8(加密传输,使用json)//需要填写us
UniApp实现接口调用与数据请求
ll489的博客
04-23 2987
UniApp是一种跨平台的开发框架,可以同时开发iOS、Android、H5、小程序等多个平台的应用。其中,调用接口并获取数据是一个常见的需求。本文将详细介绍如何在UniApp中进行接口调用和数据请求,并包含一些常见的注意事项和技巧。UniApp提供了多种接口调用的方法,可以根据需要选择合适的方法来发起接口请求并获取数据。同时,还可以使用Vue.js的数据绑定和计算属性等功能来处理和展示接口返回的数据。在开发过程中,需要注意跨域请求的处理、接口请求的优化以及错误处理与异常捕获等问题。
接口文档标准模板-含Word和excel两种
02-06
- 结构布局:Excel模板通常会按工作表分页,如“接口列表”、“请求参数”、“响应参数”等,每个接口占据一行,列中填写接口相关信息,如ID、版本、状态、接口名、请求URL等。 4. **接口文档的标准内容**: - **...
短信接口怎么对接最安全?如何防止盗刷?
qq_31949853的博客
12-12 2787
大多系统在做注册、登录、找回密码、修改密码等功能时,往往需要发送短信验证码来确定当前操作者即为该账号的所属者,来保障账号的安全。 发送一条短信费用大概在0.03-0.04之间,对于正常的使用,勉强是可以接受的。 如果控制不好,会被滥用,花钱不说,对用户造成不好的体验。 如何防止短信接口被滥用、盗用? 1、前端增加时间限制,如:js控制60秒后才能继续发送(但不用等60秒,刷新后又能获取) ...
如何防止公开接口恶意调用
weixin_33738555的博客
07-06 2576
今年组长给了几个任务,其中有两个是关于对外接口的安全控制: 前端验证组件 利用浏览器Js加密的技术访问接口,防止恶意用户越过浏览器直接访问我们的接口。 人机识别 在接口端再做一层检测,区分调用者来自普通用户还是工具模拟,进一步防止恶意接口的行为。 主要研究的方向在于如何提取用户行为,因为工具模拟是没有一般的用户行为的。 可能的实现方...
短信接口安全措施
youlianyiran的专栏
10-23 440
发送短信之前的图片验证码校验 短信发送按钮倒计时 以手机号维度的请求次数限制 接口请求服务器白名单 接入风控系统 短信云服务对后端服务器的白名单 短信云服务对商户请求次数的限制
避免短信接口客攻击的方式
WLANQY的博客
01-16 355
这里为大家介绍了四个简单易行的避免短信服务接口调用的方法,以及实际使用中的注意事项。限制短信发送频率,限制同一电话号码、同一IP的短信发送次数,增加图形验证码,增加短信防火墙,都可以提高客攻击接口的难度。在实际的接口防护中,组合使用可以大大降低企业接口被攻击的风险,但是要注意确保真实用户的使用体验。防护方案最好在对接短信接口时同时实施,避免受到攻击后因难以立即发布新的应用版本遭受损失。作者:香芋味的猫丶。
验证码短信接口受到恶意调用
苦刑莘
08-15 5452
验证码短信接口受到恶意调用
阿里云短信通道被人恶意刷了几万条短信,怎么办?(短信接口被盗刷系列3)
热门推荐
02-23 13万+
公司的商城网站刚上线运营不到一个星期,网站就被攻击了,导致公司网站的短信通道被人恶意刷了几万条短信,损失较大,同时服务器也遭受到了前所未有的攻击。CPU监控看到网站在被盗刷短信验证码的时候,CPU一直保持在%95,网站甚至有些时候都无法打开。 网站被攻击后我登录了阿里云进去看了下,受到了很多阿里云提示的安全提醒,阿里云竟然没有给我拦截,我打电话咨询阿里云,阿里云竟然说我没有购买他们的云防火墙,阿里云客服还一再的推销让我们公司购买他们的云防火墙来防止短信验证码攻击,本身我也是做技术出身的,还是懂一些代码以及安
短信接口恶意调用,瞬间损失数万元,怎么解决?
lxw1844912514的博客
03-08 1040
一、 事件简述 这是一件发生在前段时间的事情,当时的情况是这样的: 一个新的功能模块上线之后,出现短信接口恶意访问调用的情况,请求数量很大,而且通过查看短信服务商控制台也发现,...
遇到短信轰炸,别人换ip调你的短信接口怎么办
weixin_39037804的博客
08-13 1399
  前端开发者很容易暴露自己的请求地址和参数,我们都知道,一个h5页面,按 F12 是可以看到页面的源码的,所以经常很多人会利用这一点恶意调取别人的接口。   我们公司出现了好多次短信接口被大量调用,...
HANS二次开发软件接口使用手册V1.3 - C++与C#调用指南
"该资源是一份关于二次开发接口的使用手册,主要针对HANS二次开发软件接口,适用于C++描述并能被C#通过调用动态链接库来使用。手册内容包括版本信息、修订历史、概述以及接口使用方法。动态库HansAdvInterface.dll...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值