從網絡2.0到移動互聯(lián)網時代，越來越多的產品功能開始使用短信認證功能，注冊/登錄/密碼檢索/支付?？梢哉f，短信服務(接口)已經成為重要的技術基礎設施之一。正是因為它的重要性，越來越多的惡意攻擊開始圍繞著短信界面展開，許多團隊已經涉足其中。因此，梳理一下常用的短信攻擊防范措施，供您參考。一、認證1。圖形校驗碼綁定到手機驗證碼。當用戶輸入手機號碼時，他需要輸入圖形校驗碼或根據(jù)圖形進行一些邏輯運算(例如，25 one=？)可以觸發(fā)短信，這可以有效防止軟件的惡意點擊。2.聯(lián)系人驗證:讓用戶選擇一些指定的圖標或字符。典型的例子是12306火車票，但是用戶體驗會受到很大影響。效率和安全通常是一對矛盾。特別是，當需要選擇的項目很棒時，它們會在一定程度上傷害普通用戶。-_-！3.滑動驗證:目前，越來越流行的方法是通過拖動鼠標來實現(xiàn)驗證。對于普通的圖形驗證碼，很容易被各種暴力機器破解，而滑動驗證只能監(jiān)控鼠標的移動，卻無法通過數(shù)據(jù)驗證，從而防止機械破解。以上三種方法都有現(xiàn)成的開源類庫作為參考，可以根據(jù)自己的情況進行二次開發(fā)。其次，業(yè)務流程被限制為通過設置特定的業(yè)務流程來防止攻擊腳本，例如以下兩種方案:1。將流程分成兩部分，進行業(yè)務操作，然后進行短信驗證。例如，短信驗證和用戶名注冊分為兩個步驟。用戶成功注冊用戶名和密碼后，下一步是短信驗證。簡而言之，沒有新用戶的信息，短信不會成功。2.您必須填寫相關信息才能觸發(fā)短信。例如，用戶必須在觸發(fā)前填寫所有注冊信息，注冊信息不完整，驗證碼無法發(fā)送。第三，觸發(fā)限制通過挖掘和限制異常用戶行為來控制短消息的觸發(fā)。通常有以下三種方法:1 .設置發(fā)送間隔，設置同一號碼重復發(fā)送的時間間隔，一般設置間隔為60-120秒；2.觸發(fā)IP限制并設置每個IP的每日發(fā)送量；3.限制發(fā)送量，設置每個手機號碼的每日發(fā)送量；另外，請對驗證碼內容添加退訂操作，如:回復TD拒絕；退訂并回復運輸署及其他相關內容。當非用戶觸發(fā)收到的短信，用戶回復時，平臺將在拒絕數(shù)據(jù)庫中列出，并停止發(fā)送號碼。原PO所有者:謝東生林/建筑棧