短信验证码对于现在人来说,肯定不陌生,也都知道注册平台或者软件的时候有填写验证码的要求,填写之前还有一个图形验证,然后才能进行验证码获取,还有的企业对第二次获取验证码还有时间限制。
短信恶意***的目的是什么?目前市场上的恶意短信***只是两个目的:
首先是***特定的手机号码。***在网上使用多个不安全的短消息发送接口,并且循环呼叫接口向移动电话号码发送短消息,使得该手机号码频繁的收到短信,接着就是是恶意刷目标网站短信验证码的费用。***发现无保护的短信发送界面后,***会根据某个手机号码列表定期获取短信验证码。在***期间,***将不断更改IP地址,并且可以刷几万甚至更高的短信收费。被***的公司也将在成本丢失的同时收到用户的投诉,并且公司的形象将受到损害。
容易受到***的场景
最常被***的场景是用户注册页面,或短信快捷登录页面 线投票等页面。在这种情况下的短信接口通常不对用户执行相关的验证。关于使用几种反***策略的思考
一些反***策略可以在一定程度上起作用,但它们对用户体验有不同的影响。在实际使用中,您需要考虑实际情况并结合使用以下策略。
-CYMG4-J~8O-YH6AY-ZZP_4
设置短信发送间隔
设置重复传输相同数字的时间间隔,通常设置为60-120秒。该方法可以防止短消息接口在一定程度上受到恶意***,对用户体验无害。但是,不可能防止***更改手机号码以进行***,并且保护级别低。
手机号码获取短信验证码限制
限制特定电话号码在特定时间段内获得短信验证码的最大次数。采用这种策略时,产品设计过程中有几点值得认真考虑。
仔细定义上限。根据业务的实际情况,甚至有必要考虑到未来业务的发展,设置合适的上限,避免用户引起的投诉无法接收验证码。
仔细定义锁定时间段。它可以是24小时,也可以是12小时、6小时。需要根据业务条件进行定义。
IP限制
设置单个IP地址在一段时间内的最大传输量。这种方法可以很好地防御单IP地址***,但有两个明显的缺点:对于经常更改IP地址进行***的***,此方法效果不佳
例如,在使用统一无线网络的一些地方,许多用户连接到同一无线网络,并且IP地址很可能很快达到上限,因此连接到无线网络的用户无法接收到验证码通常。