如何避免注册流程的短信验证被滥用?

 网络上有一些短信轰炸机,出图形验证码和设置时间,还有哪些方式可以防止网站的短信验证被别人利用?
阅读全文
请先 登录 后评论
  • 0 关注
  • 0 收藏 103 浏览
  • 略问用户 提出于 2020-10-22 17:36:03

7 个回答

xxxxxa

                                              图片来源:搜狐网

首先我想说的是,你这种情况就是被轰炸机软件盯上了。                                                     图

1、为什么有短信轰炸?

短信轰炸是某些不良商家出售用于报复某人使用的软件或者网页形态,该软件会搜集多家没有做好安全防范措施的客户代码,一般是用注册验证码对报复对象进行轰炸,短信发送平台跟平台客户都是受害者。

2. 短信轰炸出现情况

    1).莫名验证码注册突然增多或成倍增加

    2).注册的手机号码打不通,但是不停的注册验证码

    3).手机用户非实际操作,但是短信不停收

2、怎么防范短信轰炸?

根据多年累积的经验,创蓝253对于所有的用户都会给出以下几点意见:

使用网页或者app客户端进行验证码校验注册的界面上要做如下设置。

(一)点击获取验证码,当发送请求成功后,按钮默认60秒后才能重新发送(必选)

  • 做出刷新动作(如,按下F5),同一手机号码一分钟内无法注册(必选)
  • 退出网站或关闭App重新进入,同一手机号码一分钟内无法注册

交互行为:按钮倒计时继续,或点击后弹窗“您的手机一分钟内只能获取一次验证码”。

(二)当多次(2-5次)同一号码请求验证码,请弹出二次验证方式,或直接采用先识别图片验证码或者图形验证码后才允许获取短信验证码的方式(推荐)

图片验证码或图形验证码来验证该操作不为机器人,二次验证方式越难被机器识别,则效果越好。

(三)限制请求来源为同一ip地址的请求次数,可将次数限制为3-10次以内,根据项目实际情况进行配置(可选)

(四) 使用验证码的界面如有多个表单填写项,请设置为部分表单填写后才能使用短信验证码按钮(必选)

(五) 限制同一号码每小时3-5次请求次数,每天10次请求次数(可选)

交互:您的手机号码输入太频繁,请明天再来。

(六)在手机号码输入后,检验该手机号码是否已经在系统内存在(网易)

(七)可采用先输入手机号码,然后点击注册按钮后切换到第二个界面才能点击获取验证码,增加同一页面批量操作的难度(小米)

(八)在自助通后台配置绑定API发送请求服务器地址,可绑定多个ip(必选)

(九)如果以上措施都有做好,还是被轰炸?

可以请求创蓝技术协助查询平台接收请求的IP来源分布,如果出现非自有服务器的IP请求,则可能是账号跟密码泄露,请修改api密码和自助通密码;

如果请求来源为自有服务器IP请求,则为WEB跟APP的存在漏洞,导致被轰炸程序利用,可考虑暂停短信验证服务。

考虑采用上行短信验证方式。

请先 登录 后评论
xxxxxa

轰炸问题一直是存在于短信平台与用户主之间最难沟通的一大难题。

一般轰炸问题出现都是由于用户主己方站点存在漏洞,短信平台只是作为短信的下发方,只有在用户主向短信平台下达发送请求时,短信才会被发出。因此用户主的平台在被不断攻击的过程中,不断向短信平台下达发送请求,才导致短信不断发出,影响用户也在浪费用户主的短信资源。

往往被轰炸的网站是被竞争对手或者恶意轰炸方抓到漏洞去攻击,所以用户主需要不断提升自己网站的抗轰炸抗攻击能力,答主中已有很多图文并茂的解答,这些方法可以有效提升自己平台的防轰炸防攻击能力。

但是道高一尺魔高一丈,无论平台如何完善自己防攻击的能力,都有一定几率存在被破解再次被攻击的可能。云片网 能做到的短信服务在于第一时间监控短信的发送异常情况,并在第一时间给到您通知告警,并第一时间协助及时排查问题。能在意外发生后最小程度解决用户的损失。

请先 登录 后评论
xxxxxa

这类 恶意 使用短信验证码的行为是完全可以通过技术手段阻断的,比如 A 用户使用 客户端 或 网页端 请求发送验证码时,验证该请求的合法性,从技术角度就是对该请求自动加一个验证码,再通过服务端判断该验证码的合法性,合法则发送,不合法则无视。而通过 非客户端 或 非网页端 的请求,即脚本,无此系统自动生成的 验证码时,则无法通过验证;具体可以问问你们的工程师。

请先 登录 后评论
xxxxxa

http://www.geetest.com/ 极验验证码Saas,直接解决问题。

请先 登录 后评论
xxxxxa

一个软文看的乐呵乐呵

请先 登录 后评论
xxxxxa

真的是好专业啊!干货,感谢分享!

请先 登录 后评论
xxxxxa

这个问的好,每次收到好多短信验证码啥的感觉好烦。

请先 登录 后评论