新聞正文

防止短信驗證碼接口惡意攻擊的方法及防范方法

時間:2017-02-28

短信接口驗證碼的特征：24小時發(fā)送，到達速度快，專門的驗證碼通道發(fā)送。短信接口驗證碼廣泛用于電商、手機APP、網上銀行、社交論壇等互聯(lián)網行業(yè)，通過短信驗證碼進行身份二次驗證，確保用戶身份真實有效。

因為短信驗證碼是在輸入手機號碼后進行短信發(fā)送，到達速度快，所以有一些不法分子利用短信驗證碼接口這個特點進行惡意攻擊。

　　下面我們看一下短信驗證碼接口是怎么被惡意攻擊的，短信驗證碼接口因為不需要過多的驗證信息，所以會用來被用于短信轟炸。

短信轟炸通常是基于WEB方式(基于客戶端方式的原理與之類似)，由兩個模塊組成，包括:一個前端Web網頁，提供輸入被攻擊者手機號碼的表單；一個后臺攻擊頁面(如PHP)，利用從各個網站上找到的動態(tài)短信URL和前端輸入的被攻擊者手機號碼，發(fā)送HTTP請求，每次請求給用戶發(fā)送一個動態(tài)短信。被攻擊者大量接收非自身請求的短信，造成無法正常使用移動運營商業(yè)務。

。

　　容易遭惡意攻擊的場景或網站

　　1、網絡在線投票站（需要填寫手機號碼進行校驗）

　　2、用戶在線注冊頁面（包含手機短信驗證功能）

　　3、手機短信動態(tài)密碼登錄

　　1，惡意注冊，原因是沒有進行驗證，提高注冊機制。

首先做好注冊驗證注冊頁面最好有注冊頁面最好有復雜的驗證碼，要不斷變化，讓識別工具也很難識別的驗證碼，就能防止一些工具惡意注冊。

比如：

1）gif驗證碼圖片，gif驗證碼圖片輸出答案

　　2）對驗證碼實行問題填寫

　　3）使用驗證碼特色字體包。使用特色的字體增加注冊機文字識別難度

　　4）驗證碼使用漢字模式