短信业务 防恶意攻击解决方案

最新推荐文章于 2024-12-07 14:15:46 发布
最新推荐文章于 2024-12-07 14:15:46 发布
阅读量3.6k 收藏
点赞数
分类专栏: Java-主要技术 文章标签: java mysql http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45267219/article/details/121433156
版权

一、方案概述

短信验证码接口被恶意攻击,不仅会会造成大额的短信服务费用,更会对用户造成骚扰,引起投诉,降低公司形象。

二、系统涉及短信业务场景

略。

三、恶意攻击的途径

由于裸露短信发送接口的漏洞,恶意攻击短信验证码接口的主要途径有,一是其他应用偷用接口调用发送短信;二是通过接口工具,导入手机号码库,批量调用短信验证码发送,若使用后者,造成的影响是相当大的。

四、详细解决方案

(一)增加行为式验证码
将行为式验证码和短信验证码校验进行绑定,当用户输入手机号码以后,需要输入图形校验码才可以发送短信,这样能比较有效的防止软件恶意点击。常见的行为验证方式主要有:智能无感知、滑动拼图、文字点选、图标点选、图文验证码等,文字点选验证方式如下图1所示。
在这里插入图片描述

图1 文字点选验证方式
结合实际业务,目前更为方便的是采取图文验证码防止短信恶意攻击,通过输入大小写正确的字符串和图片所展示的图文进行比对校验,比对成功才能进行下一步的获取短信验证码操作,图文验证码原型图如下图2所示。

最低0.47元/天 解锁文章
如何短信接口被刷?
写给自己的博客
08-04 2642
短信验证码作为重要的身份验证工具,因其操作简便、安全性高、时效性强等优点已被开发人员广泛使用。但因其获取便利、限制较少容易被不法分子利用进行短信轰炸,恶意刷掉大量短信费用,给公司或个人造成大量的金钱损失,造成这种情况原因主要是在产品实际设计过程中,有些产品人员因为对技术实现不太了解,范意识薄弱,简单或直接忽略对短信验证码进行限制,这才造成短信接口恶意被不法分子利用。 在介绍刷策略前我们需要了解下常见的刷短信验证的行为。 1.以攻击手机号为目的刷短信验证码 这类攻击目标主要是攻击者借助web网.
短信平台被恶意攻击怎么
wujunzhao520的博客
08-12 578
短信平台被恶意攻击怎么
如何止被恶意刷接口
最新发布
犬小哈
12-07 102
???? 欢迎加入小哈的星球,你将获得:专属的项目实战 /1v1 提问/Java 学习路线 /学习打卡/每月赠书/社群讨论新项目:《从零手撸:仿小红书(微服务架构)》正在持续爆肝中,基于 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17...,点击查看项目介绍;《从零手撸:前后端分离博客项目(全栈开发)》2期已完结,演示链接:http...
避免短信接口被黑客攻击的方式
WLANQY的博客
01-16 402
这里为大家介绍了四个简单易行的避免短信服务接口被调用的方法,以及实际使用中的注意事项。限制短信发送频率,限制同一电话号码、同一IP的短信发送次数,增加图形验证码,增加短信火墙,都可以提高黑客攻击接口的难度。在实际的接口护中,组合使用可以大大降低企业接口被攻击的风险,但是要注意确保真实用户的使用体验。护方案最好在对接短信接口时同时实施,避免受到攻击后因难以立即发布新的应用版本遭受损失。作者:香芋味的猫丶。
面对短信验证接口恶意攻击的解决办法
superw的博客
11-23 868
现在网站注册、登录、报名等业务用到短信验证是很普遍的事情。但是这个口子对外开放了,就会有人恶意的输入手机号进行攻击,如果不做一点范的话,几万条短信可能瞬间就给你用完。那么如果做到止机器恶意刷短信呢。以下就是从三个方面来做。 1.一个手机号一天最多发4条。 2.同一个IP一天最多发10条。 3.同一个浏览器(唯一标识)最多可以发10条。 这三个条件只要一个条件成立就不再调用短信接口,大大降低的刷短信的难度。下面是一个PHP类,要使用的页面调整该类即可。 <?php Class regM
如何短信接口被恶意调用
gzmyh的博客
05-15 981
有人是这样做的: 用户点击获取验证码时,前端跟后端都做了限制。比如说同个手机号两分钟内只能获取一次。 这样的做法跟没限制一样,形同虚设。比如说攻击者随机生成几万个手机号,然后同一时间往这些手机号上发送信息 有些人又加了图形验证码。这也是目前最常用的护方式了,但也有可能被暴力破解,但难度有点大。 最近有个项目,说了为了用户体验,发送验证前不要图形验证,所以想到的方法就是ip限制了。 ...
详解Java分布式IP限流和止恶意IP攻击方案
08-19
为了止这种恶意攻击,本文介绍了一种方案,可以自动识别恶意攻击的IP并加入黑名单。思路是这样的,针对某些业务场景,约定在一段时间内同一个IP访问最大频次,如果超过了这个最大频次,那么就认为是非法IP。识别了...
安卓应用常见的几种应对恶意攻击解决方案.docx
10-26
解决方案】 1. **组件安全**:开发者应谨慎处理组件暴露,仅公开必要的接口,并对组件进行权限控制。对于未完成的代码,应确保不在发布版本中包含。 2. **URL安全**:应用需对所有URL进行严格验证,使用安全的白...
验证码攻击方案
04-03
- 为恶意攻击者使用自动化脚本对服务器发起大量请求,可以设置单个IP地址的请求次数限制,这样能够在一定程度上抵御反复的攻击尝试。 - 同一手机号在一定时间内的短信验证码获取次数需要限制,比如每小时最多...
nginx限制IP恶意调用短信接口处理方法
09-30
在处理Nginx限制IP恶意调用短信接口的问题时,通常采用的处理方法有两种:一是使用Nginx黑名单方式,二是限制IP请求数。...在实施这些解决方案时,还需要考虑配置的合理性和服务器性能问题,确保系统稳定运行不受影响。
如何短信接口被恶意调用攻击?
2401_84208172的博客
05-21 1681
最近遇到一个关于短信验证码被刷的问题,相信很多朋友也遭遇过这个被刷短信的问题。因此,就“止验证码短信被盗刷”作一个总结和分享。黑客&网络安全如何学习。
短信接口验证码恶意攻击
weixin_2630663675的博客
06-20 577
(1)网络在线投票站(需要填写手机号码进行校验)(2)用户在线注册页面(包含手机短信验证功能)(3)手机短信动态密码登录一种是人工频繁点击;一种是通过软件连续点击,就危害性来说,软件连续点击的危害要大的多。
如何短信接口恶意攻击
亿美软通的博客
08-24 591
主流的APP身份验证方式都有哪些不同? 看完视频,大家对主流APP登录验证方式对比有所了解。传统验证方式步骤繁琐,考验用户耐心,同时对于企业而言存在盗刷风险。生物识别便捷,但首先需要用户手机支持相关功能,另外可能会因外在因素限制造成失灵,反倒加剧用户的反感。 对于企业而言,验证环节的安全性是基本需求,流畅度是用户维护的加分项,这两者稍有不慎就会造成企业用户流失率增加、转化率下降。因而,验证环节无小事,选择合适的用户身份核验解决方案是企业获客的一块敲门砖。 一键登录,整合三大运营商..
前后端分离的项目中短信发送服务接口的安全性设计
tianyuConqueror的博客
07-29 701
最近做的项目在登录注册中需要用到短信发送,于是单独写了一个短信发送接口,当时什么也没考虑到,就是接口访问带有手机号就可以发送,这具有很大的安全隐患。 在查资料看博客并且参考其他大的网站之后,决定对短信发送接口进行安全性改造。 前端除了传递必要的参数外,还加入一个当前的时间的毫秒数,还有一个加密签名,这个签名是当前时间的毫秒数和前后端确定好的一个秘钥来通过MD5或其他加密算法加密之后得到的...
短信接口被恶意盗刷
m0_70754056的博客
07-31 711
isRequestAllowed方法接收 IP 地址作为参数,通过incr方法增加对应 IP 的请求计数,如果是首次请求(计数为 1),则设置该键的过期时间为指定的时间窗口。3. 请求次数限制:利用redis的incrby实现计数,增加ip次数限制和总的请求次数限制,例如限制同一ip在指定时间段内(如5分钟)的请求次数上限,以及设置整个系统在特定时间段内(如5分钟)的总请求量阈值;7. 周期性修改接口:随着项目迭代升级,随机变更重点接口的请求地址,前后端同步更新,降低接口被长期攻击的风险。
对付短信发送攻击
在河里抓鱼的熊
05-30 3076
简介自从某公司使用短信验证码验证用户真实性以来,短信便逐渐成了公司业务的标配。现在几乎每家公司的服务都包含了短信发送这一功能。而用户请求短信时,一般还未注册,所以这个接口是匿名接口(不需要登录)。于是,坏蛋们就开始捣蛋了。他们通过对软件抓包,得到用户的请求消息,然后模拟用户对服务器疯狂的发送这一请求,消耗公司的短信资源,骚扰无辜手机用户,甚至造成短信通道堵塞,无法发出正常消息。搞不好还被那些被骚扰者
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值