作者:hacker 日期:2022-12-04 分类:网站入侵
如何防止短信接口验证码被恶意点击?用户恶意点击手机短信验证码,不仅会增加公司的运营成本,也会给公司的形象造成极坏的影响(一般短信都会带公司的签名),所以必须要对这种行为进行防范,目前,防范的手段主要有以下几个方面:
短信发送间隔设置——设置同一号码重复发送的时间间隔,一般设置为60-120秒
IP限定——根据自己的业务特点,设置每个IP每天的最大发送量
手机号码限定——根据业务特点,设置每个手机号码每天的最大发送量
流程限定——将手机短信验证和用户名密码设置分成两个步骤,用户在设置成功用户名密码后,下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验。
绑定图型校验码——将图形校验码和手机验证码进行绑定,这样能比较有效的防止软件恶意注册。
短信攻击器就是短信轰炸机。短信轰炸机,就是批量循环给手机无限发送各种网站的注册验证码短信,真正强大的短信轰炸机一秒能超过一百条短信。
短信轰炸机是整蛊朋友、对付骚扰电话最好的工具。可以对移动、联通、电信手机发送大量的短信,使对方手机时刻处于接收短信状态,一个强大的短信轰炸机能做到每秒发送上百条短信,一般手机都收不了这么快。不过这种软件一般都很少见,请勿用于非法途径。
这种软件的原理就是批量访问接口(本文中的接口是指很多网站发短信的接口),每个网站都有他自己的短信接口,比如“ 输入手机号 ”点发送验证码,就会去访问这个的接口,然后就来验证码短信了,短信轰炸机就是利用这点,用内置的很多接口,无限访问这些接口,手机就会一直收到超多的注册短信,这就是短信轰炸。
普通自开发
发送时间间隔
设置同一个号码重复发送的时间间隔,一般设置为60-120秒。该手段可以在一定程度上防止短信接口被恶意攻击,且对用户体验没有什么伤害。但是不能防止黑客更换手机号进行攻击,防护等级较低。
获取次数限制
限制某个手机号在某个时间段内获取短信验证码次数的上限。采用这种策略时在产品设计过程中,有几点需要注意。
定义上限值。根据业务真实的情况,甚至需要考虑到将来业务的发展定一个合适的上限值,避免因用户无法收到短信验证码而带来的投诉。
定义锁定时间段。可以是24小时,可以是12小时、6小时。需要根据业务情况进行定义。
IP限制
设置单个IP地址某个时间段内最大的发送量。该手段可很好的预防单一IP地址的攻击,但是也有两个很明显的缺点:
对于经常变更IP地址进行攻击的黑客,该手段没有很好的效果。
IP的限制经常会造成误伤。如在一些使用统一无线网的场所,很多用户连接着同一个无线网,这个IP地址就容易很快达到上限,从而造成连接该无线网的用户都无法正常的收到验证码。
图形验证码
在发送短信验证码之前,必须通过通过图形验证码的校验。这种手段相对来说可以防止某些攻击,因此也是目前非常普遍的短信防攻击机制。但是在使用过程中涉及到用户体验问题,不能简单粗暴地套用这一策略。以下几个点值得仔细考虑:
是不是每次获取短信验证码之前都需要用户输入图形验证码,一般来说这样做会极大地影响用户体验,虽然是相对安全,但是用户用着不爽了。
可以给一个安全范围。结合手机号限制、IP限制来考虑,比如同一个手机号当天第3次获取短信验证码的时候,出现图形验证码;比如同一个IP地址当天获取验证码次数超过100次后,出现图形验证码。
加密限制
通过对传向服务器各项参数进行加密,到了服务器再进行解密,同时用token作为唯一性识别验证,在后端对token进行验证,验证通过才能正常将短信发送。该手段可以在保证用户体验的情况下,可以有效防止某些攻击,因此也是目前比较常见的短信防攻击机制。同时也有很明显的缺点:
使用的加解密算法可能会被破解,需要考虑使用破解难度较大的加解密算法。
在算法不被破解的情况下可以有效防止报文攻击,但是无法防止浏览器模拟机式攻击。
以上是几种常见的短信风控策略,在具体的产品设计过程中,可以综合使用。
使用第三方防御
短信防火墙
为了在产品安全和优秀的用户体验之间寻找一个极佳的平衡。新昕科技的产品研发团队结合各种风控策略的优点研发出了一款短信防火墙。 从以下几个方面概括一下:
为保障优秀的用户体验,摈弃了目前影响用户体验最为严重的图形验证码等人机校验程序,做到无感验证。从而达到完美的用户体验。
结合用户的手机号码 、IP地址 、设备指纹三个唯一身份标识设置不同维度的风控策略。将各个维度之间相互配合,达到一个最为合理的风控限制指标。
根据业务情况自动伸缩风控限制,在检测处受攻击时自动加大风控限制力度,在正常是再归回到正常风控标准。
考虑到存在新老客户的区别,特意增加老客户VIP通道,在受到攻击时,风控指标紧缩的情况下,保证老客户通道畅通无阻,从而降低误伤率。
通过以上策略可以有防止黑客通过随意切换手机号及IP地址的方式可以刷取短信。同时加入模拟器检测,以及参数加密等风控策略,有效防止黑客攻击。
可通过风控防火墙控制台,实时观测风控结果,在受到攻击时达到第一时间预警的效果。
如需了解更多请关注新昕科技官网:newxtc.com
短信防火墙
工具/原料
Fiddler
电脑
手机
手机和电脑要在同一个局域网
方法/步骤
安装Fiddler攻击短信接口软件,百度搜索Fiddler攻击短信接口软件,就会有下载链接。
启动Fiddler,开始设置。点击“tools--fiddler options”.
设置HTTPS选项。在设置过程中会有弹框,请允许。
设置connect选项,记住代理端口号,后面会使用。在设置过程中会有弹框,请允许。设置完之后记得一定要重启Fiddler软件,不然不能使用。
通过ipconfig查看PC攻击短信接口软件的IP地址。(快捷键“ctrl+r”,输入cmd,弹出黑框,然后输入ipconfig)。攻击短信接口软件我的IP地址为192.168.1.14,需要记下
设置手机端。所有的Android机应该都可以长安wlan图标,然后进入网络连接,在连接详情里面设置代理。代理的主机名为上面查到的ip地址,比如我的为192.168.1.14,端口为connect是设置的,默认为8888。图片是米四截图。
然后手机端访问"192.168.1.14:8888"(攻击短信接口软件你自己的ip地址和端口号),如果出现响应页面说明成功。
已有5位网友发表了看法:
访客 评论于 [2022-12-04 07:20:57] 回复
程序,做到无感验证。从而达到完美的用户体验。结合用户的手机号码 、IP地址 、设备指纹三个唯一身份标识设置不同维度的风控策略。将各个维度之间相互配合,达到一个最为合理的风控限制指标。根据业务情况自动伸缩风控限制,在检测处受攻击时自动加大风控限制
访客 评论于 [2022-12-04 06:21:05] 回复
次获取短信验证码之前都需要用户输入图形验证码,一般来说这样做会极大地影响用户体验,虽然是相对安全,但是用户用着不爽了。可以给一个安全范围。结合手机号限制、IP限制来考虑,比如同一个手机号当天第3次获取短信验证码的时候,出现图形验证码;比如同一个IP地址当天获取验证码次数超过100次后,出现图
访客 评论于 [2022-12-04 06:29:33] 回复
导航:1、短信验证码接口被恶意攻击怎么办2、短信攻击器是什么东西3、如何解决短信验证码接口被攻击的问题?4、谁会fiddler来抓短信接口。短信验证码接口被恶意攻击怎么办如何防止短信接口验证码被恶意点击?用户恶意点击手机短信验证码,不仅会增加公司的运营成本,也会给公司的形象造成极坏的影响(一般
访客 评论于 [2022-12-04 07:09:18] 回复
文中的接口是指很多网站发短信的接口),每个网站都有他自己的短信接口,比如“ 输入手机号 ”点发送验证码,就会去访问这个的接口,然后就来验证码短信了,短信轰炸机就是利用这点,用内置
访客 评论于 [2022-12-04 13:53:01] 回复
于非法途径。这种软件的原理就是批量访问接口(本文中的接口是指很多网站发短信的接口),每个网站都有他自己的短信接口,比如“ 输入手机号 ”点发送验证码,就会去访问这个的接口,然后就来验证码短信了,短信轰炸机就是利用这点,用内置的很多接口,无限