• 四川通报6起群众身边的腐败和作风问题 2019-03-19
  • 骗子用女子照片制作“通缉令” 诈骗对方11万 2019-03-18
  • 晋城:“转型项目建设年”收获阶段性成果 2019-03-14
  • 女性之声——全国妇联 2018-12-29
  • 吕梁:女子被贴罚单心怀不满 朋友圈恶意辱警被查 2018-12-29
  • 中嘉博创  (股票代码:SZ000889)旗下全资子公司

    云南快乐十分前3走势图:

    私彩能控制官方开奖吗? www.vamw.net 聊聊短信接口攻击的防范方案

    2018-11-23 14:55:19

     从Web2.0到移动互联网时代后,越来越多的产品功能开始使用短信验证功能,注册/登录/密码找回/支付.. ,可以说短信服务(接口)已经成为最重要的技术基础设施之一。也正是因为重要,越来越多的恶意攻击事件开始围绕着短信接口进行,很多团队也因此踩过坑。所以,今天梳理一下常用的短信攻击防范措施,供大家参考。


     一,身份验证


    1. 图形校验码和手机验证码进行绑定,当用户输入手机号码以后,需要输入图形校验码或者根据图形进行某种逻辑运算(比如25 + 壹 = ?)才可以触发短信,这样能比较有效的防止软件恶意点击。

    2. 触点验证:让用户选择某个指定的某些图标或文字,典型案例有12306火车售票,不过用户体验会受到比较大的影响,效率和安全很多时候就是一对矛盾体。特别是要求选择的物品比较奇葩的时候,在某种程度上“伤害”了最普通的用户。-_-! 
    3. 滑动验证:目前越来越流行的方式,主要是通过鼠标拖动来实现验证,

    对于普通的图形验证码容易被各种暴力机械破解,而滑动验证只能监听鼠标动作,不能通过数据验证,达到防止机械破解的作用。

    以上三种做法,都有现成的开源类库作为参考,可以在上面根据自身的情况做二次开发。

     

    二,业务流程限定

    通过设定特定的业务流程来阻止攻击脚本,比如以下两个方案:

    1. 将流程进行一分为二,先进行业务操作,再进行短信验证。例如,将手机短信验证和用户名注册分成两个步骤,用户在注册成功用户名密码后,下一步才进行手机短信验证。简单来说,拿不到新用户的身份信息,短信是不会触发成功的。

    2. 必须填写相关信息才能触发短信,例如,用户必须填写好所有注册信息才可进行触发,注册资料不完整无法发送验证码。

    三,触发限制

    通过挖掘和限定非正常的用户行为,对短信的触发进行管控,一般有以下三类做法:

    1.  发送间隔设置,设置同一号码重复发送的时间间隔,一般设置的间隔为60-120秒;

    2.  触发IP限定,设置每个IP每天的最大发送量;

    3.  发送量限定,设置每个手机号码每天的最大发送量;

     

    除此之外,请在验证码内容加上退订操作,如:回复TD拒收;退订回复TD等相关内容。当非用户触发接收的短信,用户回复TD以后,平台将会将其列入拒发数据库,将会停止对该号码发送。

    详情内容见漫道科技官网:私彩能控制官方开奖吗?


    Copyright 2004-2019 北京创世漫道科技有限公司 

    公司地址:北京市朝阳区京顺路5号曙光大厦C座1层 邮编:100028

    京ICP备10010630号-1

    备案编号:京公网安备110108400988 版权所有,未经许可,任何个人或者公司都不得翻版镜像复制,违者必究

  • 四川通报6起群众身边的腐败和作风问题 2019-03-19
  • 骗子用女子照片制作“通缉令” 诈骗对方11万 2019-03-18
  • 晋城:“转型项目建设年”收获阶段性成果 2019-03-14
  • 女性之声——全国妇联 2018-12-29
  • 吕梁:女子被贴罚单心怀不满 朋友圈恶意辱警被查 2018-12-29