防止簡訊驗證碼被惡刷,五招解決方法:
1、前端增加圖文驗證碼
在獲取簡訊驗證碼前增加圖文驗證碼是一種較為常見的方式。攻擊者一般是採用自動化攻擊,增加圖文驗證碼後,攻擊者要對驗證進行識別驗證成功後才能進行模擬使用者傳送請求,這一步需要在頁面中進行,無法採用自動化攻擊。第一種攻擊基本上失效,同時會增加第二種的攻擊成本(有可能採用人工打碼方式進行驗證)選擇驗證碼時既要考慮使用者操作過程的流暢度,又應該考慮到安全度。
2、限制單個手機號每日接收簡訊次數和時間間隔
對單個手機號進行日接收次數的限制,可以防止單個手機號無限制刷簡訊,同時設定時間間隔可以有效,防止人工刷票。簡訊接收次數可以根據平臺特點進行限制,一般日接受驗證碼次數為10次左右;同一號碼傳送時間間隔通常為60秒,前後臺應保持一致,避免出現只前端做倒計時限制,後臺未做限制這種低階錯誤。
3、對IP進行限制
對單IP最大發送量進行限制,可以有效防止單一IP下多手機號被刷的問題。最大發送量限制是防止惡意攻擊者同IP下不同手機號進行刷簡訊驗證碼行為。根據平臺實際情況設計一個簡訊最大發送量的閥值,超過閥值將不予返回簡訊。
4、對註冊流程進行限定
一般來講常被攻擊的地方是註冊頁面,一般是從兩方面進行觸發流程的限定。第一種,可以從前端寫入指令,只允許在官網主頁跳轉入註冊頁面;第二種方法是對註冊流程進行分步,先進行賬戶密碼設定,設定成功後才可以再進行下一步的簡訊驗證。因為增加前置條件,增加攻擊難度兩種方法都是能有效防止自動化攻擊,需要注意的是兩種方法對使用者體驗或多或少的影響,產品經理需要結合自身平臺特點選擇。
5、對傳送者進行唯一性識別
為了防止第二種惡意攻擊者透過修改傳向伺服器各項引數,造成多IP多手機號刷簡訊驗證碼的行為,所以後臺應對前臺傳過來的引數進行驗證。方法一般是用token作為唯一性識別驗證,後臺寫一個演算法將token注入到前端,然後前端可以透過相應的規則獲取到token,在傳送簡訊驗證請求介面資料時帶上token,在後端對token進行驗證,驗證透過才能正常將簡訊傳送。
另外就是,選擇大一點的公司比較好,時間,技術 經驗,合作商家,都是需要重點考慮的,可以多看看 多試用一下,廣東第五大道,可以線上測試!
防止簡訊驗證碼被惡刷,五招解決方法:
1、前端增加圖文驗證碼
在獲取簡訊驗證碼前增加圖文驗證碼是一種較為常見的方式。攻擊者一般是採用自動化攻擊,增加圖文驗證碼後,攻擊者要對驗證進行識別驗證成功後才能進行模擬使用者傳送請求,這一步需要在頁面中進行,無法採用自動化攻擊。第一種攻擊基本上失效,同時會增加第二種的攻擊成本(有可能採用人工打碼方式進行驗證)選擇驗證碼時既要考慮使用者操作過程的流暢度,又應該考慮到安全度。
2、限制單個手機號每日接收簡訊次數和時間間隔
對單個手機號進行日接收次數的限制,可以防止單個手機號無限制刷簡訊,同時設定時間間隔可以有效,防止人工刷票。簡訊接收次數可以根據平臺特點進行限制,一般日接受驗證碼次數為10次左右;同一號碼傳送時間間隔通常為60秒,前後臺應保持一致,避免出現只前端做倒計時限制,後臺未做限制這種低階錯誤。
3、對IP進行限制
對單IP最大發送量進行限制,可以有效防止單一IP下多手機號被刷的問題。最大發送量限制是防止惡意攻擊者同IP下不同手機號進行刷簡訊驗證碼行為。根據平臺實際情況設計一個簡訊最大發送量的閥值,超過閥值將不予返回簡訊。
4、對註冊流程進行限定
一般來講常被攻擊的地方是註冊頁面,一般是從兩方面進行觸發流程的限定。第一種,可以從前端寫入指令,只允許在官網主頁跳轉入註冊頁面;第二種方法是對註冊流程進行分步,先進行賬戶密碼設定,設定成功後才可以再進行下一步的簡訊驗證。因為增加前置條件,增加攻擊難度兩種方法都是能有效防止自動化攻擊,需要注意的是兩種方法對使用者體驗或多或少的影響,產品經理需要結合自身平臺特點選擇。
5、對傳送者進行唯一性識別
為了防止第二種惡意攻擊者透過修改傳向伺服器各項引數,造成多IP多手機號刷簡訊驗證碼的行為,所以後臺應對前臺傳過來的引數進行驗證。方法一般是用token作為唯一性識別驗證,後臺寫一個演算法將token注入到前端,然後前端可以透過相應的規則獲取到token,在傳送簡訊驗證請求介面資料時帶上token,在後端對token進行驗證,驗證透過才能正常將簡訊傳送。
另外就是,選擇大一點的公司比較好,時間,技術 經驗,合作商家,都是需要重點考慮的,可以多看看 多試用一下,廣東第五大道,可以線上測試!