短信接口驗(yàn)證碼的特征:24小時發(fā)送,到達(dá)速度快,專門的驗(yàn)證碼通道發(fā)送。短信接口驗(yàn)證碼廣泛用于電商、手機(jī)APP、網(wǎng)上銀行、社交論壇等互聯(lián)網(wǎng)行業(yè),通過短信驗(yàn)證碼進(jìn)行身份二次驗(yàn)證,確保用戶身份真實(shí)有效。
因?yàn)槎绦膨?yàn)證碼是在輸入手機(jī)號碼后進(jìn)行短信發(fā)送,到達(dá)速度快,所以有一些不法分子利用短信驗(yàn)證碼接口這個特點(diǎn)進(jìn)行惡意攻擊。
下面我們看一下短信驗(yàn)證碼接口是怎么被惡意攻擊的,短信驗(yàn)證碼接口因?yàn)椴恍枰^多的驗(yàn)證信息,所以會用來被用于短信轟炸。
短信轟炸通常是基于WEB方式(基于客戶端方式的原理與之類似),由兩個模塊組成,包括:一個前端Web網(wǎng)頁,提供輸入被攻擊者手機(jī)號碼的表單;一個后臺攻擊頁面(如PHP),利用從各個網(wǎng)站上找到的動態(tài)短信URL和前端輸入的被攻擊者手機(jī)號碼,發(fā)送HTTP請求,每次請求給用戶發(fā)送一個動態(tài)短信。被攻擊者大量接收非自身請求的短信,造成無法正常使用移動運(yùn)營商業(yè)務(wù)。
。
容易遭惡意攻擊的場景或網(wǎng)站
1、網(wǎng)絡(luò)在線投票站(需要填寫手機(jī)號碼進(jìn)行校驗(yàn))
2、用戶在線注冊頁面(包含手機(jī)短信驗(yàn)證功能)
3、手機(jī)短信動態(tài)密碼登錄
1,惡意注冊,原因是沒有進(jìn)行驗(yàn)證,提高注冊機(jī)制。
首先做好注冊驗(yàn)證注冊頁面最好有注冊頁面最好有復(fù)雜的驗(yàn)證碼,要不斷變化,讓識別工具也很難識別的驗(yàn)證碼,就能防止一些工具惡意注冊。
比如:
1)gif驗(yàn)證碼圖片,gif驗(yàn)證碼圖片輸出答案
2)對驗(yàn)證碼實(shí)行問題填寫
3)使用驗(yàn)證碼特色字體包。使用特色的字體增加注冊機(jī)文字識別難度
4)驗(yàn)證碼使用漢字模式
5)驗(yàn)證碼選擇器方式,浮窗設(shè)置9宮格,讓用戶點(diǎn)擊9宮格漢字選擇4個驗(yàn)證碼字。如果驗(yàn)證碼不對,重新生成9宮格
2,使用一個手機(jī)號一個驗(yàn)證,設(shè)置手機(jī)短信驗(yàn)證碼。
只有一個手機(jī)號可以激活一個賬號,這樣就提高了注冊機(jī)制,有效的防止了惡意注冊。
3,郵箱激活驗(yàn)證
使用郵箱激活驗(yàn)證,只有登錄郵箱點(diǎn)激活后才可以使用登錄,一個郵箱對應(yīng)一個賬號。
巨象科技有限公司(qtsxjw.cn)提供短信驗(yàn)證碼、語音驗(yàn)證碼應(yīng)用、APP短信接口、群發(fā)短信軟件平臺,歡迎大家下載試用。