短信验证码接口是网站、App校验用户手机号码真实性的首要途径,在为网站及APP提供便利的同时,手机短信验证功能也会被部分用户和短信轰炸机进行恶意利用。如何才能防止被恶意点击呢?
容易被攻击的接口:注册时用户输入号码就可直接触发短信!最容易被短信轰炸机利用,只要网站被搜索引擎收录,短信轰炸机就很容易检索到注册页面。
鉴于短信轰炸的发起一般都是服务器行为,应该采用如下综合手段进行防御:
1、增加图形验证机制 ——将图形校验码和手机验证码进行绑定,即当用户进行“获取动态短信” 操作前,弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效解决短信轰炸问题。
由于攻击涉及到不同的业务场景,我们可以做不同的处理,针对注册页面增加图形验证码机制,针对忘记密码页面我们采取分步校验,先校验用户名密码并得到成功回执后才进行短信验证码的发送。
2、设置短信间隔时间 ——设置同一号码重复发送的时间间隔,一般设置为60-120秒。
3、发送量限定 ——设置每个手机号码每天的最大发送量。
4、IP限定 ——根据自己企业的业务特点,设置每天IP最大发送数量。
5、流程限定 ——将用户手机短信验证码和密码设置成两个步骤,用户在注册成功用户名密码后,下一步才进行手机短信验证。
6、触发条件 ——用户必须填写好所有注册信息才可进行触发,注册资料不完整无法发送验证码。
以上就是给大家介绍的防止短信验证码接口被恶意攻击的解决办法,推荐几种方式一起使用,能最大限度的防止短信接口被恶意攻击,以免短信造成不必要的浪费!