从Web2.0到移动互联网时代后,越来越多的产品功能开始使用短信验证功能,注册/登录/密码找回/支付.. ,可以说短信服务(接口)已经成为最重要的技术基础设施之一。也正是因为重要,越来越多的恶意攻击事件开始围绕着短信接口进行,很多团队也因此踩过坑。所以,今天梳理一下常用的短信接口攻击防范措施,供大家参考。
一,身份验证
1. 图形校验码和短信验证码进行绑定,当用户输入手机号码以后,需要输入图形校验码或者根据图形进行某种逻辑运算(比如25 + 壹 = ?)才可以触发短信,这样能比较有效的防止软件恶意点击。
2. 触点验证:让用户选择某个指定的某些图标或文字,典型案例有12306火车售票,不过用户体验会受到比较大的影响,效率和安全很多时候就是一对矛盾体。特别是要求选择的物品比较奇葩的时候,在某种程度上“伤害”了最普通的用户。-_-!
3. 滑动验证:目前越来越流行的方式,主要是通过鼠标拖动来实现验证,
对于普通的图形验证码容易被各种暴力机械破解,而滑动验证只能监听鼠标动作,不能通过数据验证,达到防止机械破解的作用。
以上三种做法,都有现成的开源类库作为参考,可以在上面根据自身的情况做二次开发。
二,业务流程限定
通过设定特定的业务流程来阻止攻击脚本,比如以下两个方案:
1. 将流程进行一分为二,先进行业务操作,再进行短信验证。例如,将手机短信验证和用户名注册分成两个步骤,用户在注册成功用户名密码后,下一步才进行手机短信验证。简单来说,拿不到新用户的身份信息,短信是不会触发成功的。
2. 必须填写相关信息才能触发短信,例如,用户必须填写好所有注册信息才可进行触发,注册资料不完整无法发送验证码。
三,触发限制
通过挖掘和限定非正常的用户行为,对短信的触发进行管控,一般有以下三类做法:
1. 发送间隔设置,设置同一号码重复发送的时间间隔,一般设置的间隔为60-120秒;
2. 触发IP限定,设置每个IP每天的最达发送量;
3. 发送量限定,设置每个手机号码每天的最达发送量;
除此之外,请在验证码内容加上退订操作,如:回复TD拒收;退订回复TD等相关内容。当非用户触发接收的短信,用户回复TD以后,平台将会将其列入拒发数据库,将会停止对该号码发送。
短信验证码的行业应用案例
短信验证码类接口是企业或商家对接后台系统,通过触发自动下发短信,属于接口类短信。需要用到一品短信平台提供的短信验证码接口给企业或商家做嵌入对接,方能实现。
哪些行业会用到短信验证码接口呢?
1.APP应用软件:豌豆荚、饿了么、美团、百度糯米、掌上理财等,主要是用于会员注册、下单提醒等;
2.电商网站:用户注册、支付验证、购买商品订单通知、新品上架短信提醒等;
3.各大在线学习网站:美联英语、英孚、韦博等,这类行业主要是用于下发会员注册验证码、课程学习通知、领取学习资料提醒类等信息;
4.各大游戏网站:用于下发会员注册类信息、修改密码、领取奖励等信息。
5.服务型系统或网址:比如说:火车票订票网站、各大旅游网、机票订购网、51公积金、积分宝等,用于发注册类、消费提醒类、查阅通知类信息等。
6.P2P网贷金融:ppmoney 、中科创、天勤资本在线、人人贷、钱多多、小牛在线等,这类企业主要是用于下发会员注册验证码、提现通知、修改密码、充值通知、账户余额变动提醒等通知类信息 等等。
短信验证码类内容模板举例:
[**公司]验证码***,您正在注册成为***用户,感谢您的支持!
[**公司]您账户正在重置密码,验证码是请在10分钟内按页面提示提交验证码,切勿随意泄露,谢谢!
艾派短信通(股票号码十几年来都为移动的优质合作单位,能提供短信验证码、国际短信、发送会员或内部通知、节假日问候、促销通知等等客户服务,可有效协助企业进行营销宣传、活动预热、服务、客户维护、会员管理等一站式移动营销服务。
艾派短信通不需要硬件和软件就可以群发短信达到营销目的。采用正规的三网合一集团通道,具有全国全网发送、高速快捷、成功率高、资费低廉等特点。15年的品质保证,值得您的信赖!
