短信平臺驗證碼接口被惡意攻擊怎么辦?
網站手機短信驗證是網站、App校驗用戶手機號碼真實性的首要途徑,在為網站及APP提供便利的同時,手機短信驗證功能也會被部分用戶進行惡意使用。
一、 易遭惡意使用的場景或網站
1、 網絡在線投票站(需要填寫手機號碼進行校驗)
2、 用戶在線注冊頁面(包含手機短信驗證功能)
3、 手機短信動態密碼登錄
二、 惡意點擊手機短信驗證碼的途徑
用戶惡意點擊手機短信驗證碼主要有兩種途徑,一種是人工頻繁點擊;一種是通過軟件連續點擊,就危害性來說,軟件連續點擊的危害要大的多。
三、 防止用戶惡意點擊手機短信的方法
用戶惡意點擊手機短信驗證碼,不僅會增加公司的運營成本,也會給公司的形象造成極壞的影響(一般短信都會帶公司的簽名),所以必須要對這種行為進行防范,目前,防范的手段主要有以下幾個方面:
A、短信接口平臺方面:
1、登陸密碼和接口密碼分開,盡量復雜些
2.、接口設置里綁定自己網站服務器IP地址(他人盜用賬號和接口密碼,也發不出去)
B、客戶自己網站方面:(技術人員必須做好日常安全漏洞等檢查和防范)
具體來說
1、 短信發送間隔設置——設置同一號碼重復發送的時間間隔,一般設置為60-120秒
2、 IP限定——根據自己的業務特點,設置每個IP每天的最大發送量
3、 手機號碼限定——根據業務特點,設置每個手機號碼每天的最大發送量
4、 流程限定——將手機短信驗證和用戶名密碼設置分成兩個步驟,用戶在設置成功用戶名密碼后,下一步才進行手機短信驗證,并且需要在獲取第一步成功的回執之后才可進行校驗。
5、 綁定網頁圖形校驗碼或滑動干擾驗證——這樣能比較有效的防止軟件惡意注冊(如圖所示)。
短信接口應用第一平臺
