根據IP和手機號都無法有效的防止刷簡訊,別人直接拿你的介面接簡訊轟炸機,IP用的是代理,手機號碼完全不一樣,所以IP和手機號只能作為基本的防刷限制!
簡訊的攻和防沒有完全通用的完美的解決方案,在於攻擊你的人願不願意付出更多的成本來攻擊你,也就是從你那裡獲得的回報要能大於他的付出,控制好這個點就ok了,比如發簡訊前要求發圖片驗證碼,沒錯,圖片驗證碼是很容易被識別,有OCR和打碼平臺,但是這些都是要成本的,一個要研發成本一個要金錢成本,他只做簡訊轟炸機的話,這些成本他是不願意付出的,所以加圖片驗證碼一般都能很好的攔截這類刷簡訊的攻擊!可以看到目前主流網站都是用驗證碼來防止,做得好的會用互動式的驗證方式,更難繞過,但是這會傷害使用者體驗,做得好一點的就會偷偷分析使用者的行為,比如你的簡訊登入,一定會按順序呼叫哪些介面,才會到發簡訊登入的介面上來,透過這種介面呼叫分析,來決定這次發簡訊是不是需要圖片驗證碼,這樣比較不會傷害使用者體驗,但是也有風險,就是人家願意花大量時間來摸你的規律就會被利用!總之沒有完美的方案,在於怎麼平衡攻擊者的利益點!
根據IP和手機號都無法有效的防止刷簡訊,別人直接拿你的介面接簡訊轟炸機,IP用的是代理,手機號碼完全不一樣,所以IP和手機號只能作為基本的防刷限制!
簡訊的攻和防沒有完全通用的完美的解決方案,在於攻擊你的人願不願意付出更多的成本來攻擊你,也就是從你那裡獲得的回報要能大於他的付出,控制好這個點就ok了,比如發簡訊前要求發圖片驗證碼,沒錯,圖片驗證碼是很容易被識別,有OCR和打碼平臺,但是這些都是要成本的,一個要研發成本一個要金錢成本,他只做簡訊轟炸機的話,這些成本他是不願意付出的,所以加圖片驗證碼一般都能很好的攔截這類刷簡訊的攻擊!可以看到目前主流網站都是用驗證碼來防止,做得好的會用互動式的驗證方式,更難繞過,但是這會傷害使用者體驗,做得好一點的就會偷偷分析使用者的行為,比如你的簡訊登入,一定會按順序呼叫哪些介面,才會到發簡訊登入的介面上來,透過這種介面呼叫分析,來決定這次發簡訊是不是需要圖片驗證碼,這樣比較不會傷害使用者體驗,但是也有風險,就是人家願意花大量時間來摸你的規律就會被利用!總之沒有完美的方案,在於怎麼平衡攻擊者的利益點!