开发者该如何应对短信接口的短信验证码被大量盗刷问题?

时间:2019-05-17

在互联网时代,几乎所有的网站和手机APP都需要用到短信验证码来实现用户身份的验证,从而提高系统安全级别。尤其是在电商节或节日促销日,企业往往会销售大量的短信验证码和会员营销短信。但是短信接口提供的短信不是免费的, 每条短信几分不等,少量还好,如果被他人恶意盗刷,损失的资金也不小。

根据榛子云短信多年的服务经验来看,短信盗刷的情况不在少数。企业的网站如果被盗刷或攻击,经常会导致系统无法正常访问。

实际上,系统被盗刷可以看成是开发者的设计漏洞,完善的安全机制是可以防止短信被大量盗刷的,下面小编就总结一些具体的防范措施:

1. 页面中增加随机token

增加token是防止xss安全漏洞的常用方法,即页面在服务端生成时嵌入一段随机字符串token,同时服务器自己也保存一份,当用户获取短信验证码时连同这个token一起上传,服务器检查,如果上传的token和自己保存的不一致时,禁止发送短信验证码,这很可能是恶意程序在盗刷短信。

2. 配合图形验证码使用

短信验证码和图形验证码同时使用,用户在"获取短信验证码"时,先验证图形验证是否正确,正确后才能下发短信。这个套路和token机制是一样的: 恶意程序很难获取token或图形验证码,当然图形验证码的破解难度要比token大很多。

3. 单一号码发送频率和数量限制

限制同一个号码的发送频率和数量,比如一分钟内、十分钟内不能超过几条,这个问题开发者可能不需要实现,一般的短信平台都会实现这个功能的,开发者只需要在页面设置一下就行。如果短信接口平台没有这个功能,开发者需要实现一下。

4. 分步完成功能

将一个功能分多步进行,比如在获取短信验证码前先验证密码,之后才能进行下一步获取短信验证码,缺点是比较繁琐,降低用户体验。

5. ip请求限定

即限制这个IP请求的频率:当某个ip请求发送验证码后,服务器应该限制多长时间内禁止在获取,比如30秒、60秒等,同时也要设置这个ip一天内最多请求次数,避免了同一个ip攻击。


用好以上几个方法就能有效的防止盗刷,开发者可以根据自身情况选择使用哪种方式,或者多种方式组合使用,对于开发者来说并不仅仅要掌握如何使用这些方法,还要真正理解每种方式的真正原理。

正在阅读:开发者该如何应对短信接口的短信验证码被大量盗刷问题?
上一篇: 提高用户服务体验,短信平台可以发挥哪些作用? 下一篇: APP应用开发为什么要使用java短信验证码平台?
短信验证码接口平台 Copyright ©北京榛子科技有限公司
地址: 北京市海淀区上地中关村软件园1期23号楼二层 TEL:185 1846 3823 QQ: 1965891378
站点地图 公司主营:短信验证码 短信接口 短信平台