在手機應用程式、電商、銀行、網站等網際網路行業,經常使用簡訊驗證碼來進行身份驗證,以確保使用者身份真實有效,但許多企業也會遇到簡訊驗證碼介面遭到惡意攻擊的事件,使用者惡意點選手機簡訊驗證碼,不僅會增加公司的運營成本,而且還會給公司的形象帶來極壞的影響(一般簡訊都會有公司的簽名),因此必須對這種行為加以防範,那麼,企業如何防範簡訊驗證碼介面遭到惡意攻擊或簡訊介面被刷呢?
新增影象驗證機制
把圖形校驗碼與手機驗證碼繫結起來,當用戶輸入手機號碼後,需要輸入圖形校驗碼才可以觸發簡訊,這樣可以比較有效地防止軟體惡意點選。目前,大網站都採用這種方法。
對於不同的業務場景,分別做出不同的處理,添加註冊頁面的圖形驗證碼機制,對忘記密碼的頁面我們採用分步校驗,使用者名稱密碼先校驗,收到成功回執後在傳送簡訊驗證碼。
安全性圖形驗證程式碼必須符合下列保護要求:
構建過程安全:圖片驗證程式碼必須生成並校驗伺服器端;
安全的使用流程:一次有效,並以使用者確認請求為準;
驗證碼本身的安全性:識別工具不易識別,可有效防止暴力破解。
限制單一IP請求的數量
簡訊驗證碼介面使用圖片驗證碼後,可以有效地防止攻擊者自動呼叫動態簡訊功能,但是如果攻擊者忽略圖片驗證碼驗證錯誤的情況下,大量請求執行會增加伺服器負擔,從而影響業務使用。提出在伺服器端限制單個IP在單位時間內的請求數,當用戶請求數(包括失敗請求數)超過設定的閾值時,暫停該IP的請求數;如果情節特別嚴重,可以將該IP列入黑名單,禁止該IP的訪問請求。這種方法可以限制一個IP地址的請求數,避免攻擊者透過同一IP對大量使用者進行攻擊。
號碼限制
基於企業的特點,將每一個手機號碼每天最多傳送一次簡訊驗證碼的限制提高,增加對同一手機號碼每天傳送驗證碼的總次數限制,如果該手機號碼連續2-3天收到相同簡訊驗證碼請求,則直接加入黑名單。
傳送間隔限制
這種限制已經很普遍了,當一個使用者請求傳送動態簡訊後,伺服器端的限制只在特定的時間之後(這裡通常是60-120秒)才會執行第二個動態簡訊請求。這一特性可以進一步保證使用者體驗,避免包含惡意傳送垃圾資訊的人工攻擊。
過程限制
若為“忘記密碼”功能相似的網頁,則可將手機簡訊驗證和使用者密碼設定分為兩步,使用者在設定完使用者密碼,並需要獲得前一步成功回執後,才可傳送手機驗證碼。
普通簡訊驗證碼介面比較容易受到惡意攻擊的網站或場景有網上線上投票,使用者線上註冊,手機簡訊動態密碼登陸等。當監測簡訊驗證碼傳送時,如果發現簡訊驗證碼傳送有異常,則對最近的簡訊驗證碼傳送進行分析,例如同一手機號的傳送頻率,某一時間段的傳送頻率,持續時間等,如果簡訊驗證碼介面遭到惡意攻擊,則首先要確定簡訊驗證碼介面被攻擊的地址和攻擊方式。
上述就是為大家介紹的防惡意攻擊簡訊驗證碼介面的解決方案,有更好的解決方案歡迎留言建議哦。