1. 聚能聊>
  2. 话题详情

平时用于内测的短信接口,一夜狂发上万条!我该怎么办?

公司平时用于内测的短信接口,没做什么安全措施,公网可访问,用了几个月了一直没问题;今天总监突然来说短信接口昨天一夜被调用了上万次;我远程服务器一看,log 显示还在频繁的调用呢!

简单的统计:
部分样本:

访问来源===调用次数
101.226.33.204===4
101.226.33.205===1
101.226.33.206===2
223.104.6.25===1
124.238.145.90===76
101.226.33.200===1
112.17.235.83===1
101.226.33.201===1
113.57.183.50===2
101.226.33.202===3
61.129.8.179===2
139.162.111.98===1
111.198.52.193===2
101.226.33.203===2
119.130.228.35===29
113.128.128.173===21
59.42.206.4===1
123.112.18.110===559
43.224.45.108===6
183.13.205.21===30
60.253.192.158===103

手机号===发送条数
152xxxx2199===98
152xxxx4962===11
155xxxx4707===5
180xxxx1088===2
136xxxx8036===6
139xxxx2679===3
133xxxx5010===3
189xxxx7013===7
131xxxx1887===97
136xxxx2949===10
159xxxx8910===9

从发送数量来看似乎是短信轰炸,从IP来源来看算是比较专业的吧!

联系提供商收到的回复
一、易遭恶意使用的场景
网络在线投票站(需要填写手机号码进行校验)
用户用手机号注册页面(包含手机短信验证功能)
手机短信动态密码登录
通过手机号找回密码

二、恶意频繁发送短信验证码的途径

主要有两种途径,一种是人工频繁点击;一种是通过软件连续点击,就危害性来说,软件连续点击的危害要大的多。

三、防止恶意频繁发送短信验证码的手段

1,短信发送间隔
设置——设置同一号码重复发送的时间间隔,一般设置为60-120秒
2,IP限定——根据自己的业务特点,设置每个IP每天的最大发送量
3,手机号码限定——根据业务特点,设置每个手机号码每天的最大发送量

上述三种方法不能有效防范通过软件来连续点击,因为软件可以模拟大批量ip,手机号来调用接口发送

4,流程限定——将手机短信验证和用户名密码设置分成两个步骤,用户在设置成功用户名密码后,
下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验。

5,绑定图型校验码——将图形校验码和手机验证码进行绑定,这样能比较有效的防止软件恶意注册。该方式主要用于web防范,对于app和微信一般是不用图形校验码的。同时图形校验码的校验必须放在服务端,不能简单的在页面里校验,防止恶意软件绕过图形校验码。

6,随机码校验,针对app和微信不适用图形校验码的问题,可以在用户请求发送前页面时候在页面中嵌入随机码,调用发送手机验证码时候,要把这个随机码发送到服务端做校验

7,限制终端类型。针对app和微信,可以限制必须是手机来请求才处理。

阿里的短信服务相关帮助
参考链接:如何防范短信功能被恶意攻击/盗刷?

我想问的是:
1、发送的短信都有产品名称的,这个验证码在别的网站上也用不了,只有在我们网站上才有效,他拿来有什么用?短信轰炸,半夜骚扰,诈骗?

2、业内是否存在黑幕交易,比如提供商找人代刷?

3、如果短信接口添加用户密码等验证参数,写入APP中,有没有推荐的加固方法可以防止反编译?

4、我是提供一个WebAPI供APP端调用,那么随机码校验、拖动验证都比较容易模拟,图形校验码不适用(即使用也有图形识别类的功能),针对这个问题我应该采用哪些技术方案?比如限制同一IP单位时间访问次数、同一手机号码单位时间发送次数、发送一条之后需要60——120秒才能请求第二次。

5、有没有短信服务商把这些问题都搞定了,我只管简单的调用就可以了?

参与话题

奖品区域 活动规则 已 结束

  • 奖品一

    虾米VIP季卡 x 3

  • 奖品二

    手机话费 x 3

  • 奖品三

    阿里云代金券 x 3

43个回答

0

芷瘾 复制链接去分享

用你的专业知识去反击

0

lpxxn 复制链接去分享

我是来学习的!关注好的解决方案

0

dean.deng 复制链接去分享

以前出现在这情况,简单的加了应用内流量限制及图片验证码之后就好很多了

0

1094094643231258 复制链接去分享

看到几个相同想法的答案,觉得可行

0

zwq26 复制链接去分享

据说阿里云云通信里可以解决

0

waterstar50 复制链接去分享

不是很懂,来学习、、

0

twzda 复制链接去分享

😓😓😓😓😓😓

0

天外归云 复制链接去分享

对ip进行限制,加vpn限制。如果是内部攻击,可以定位访问者ip方便运维追踪。

0

666666bhui 复制链接去分享

平台没有限制吗?

0

1041515219154154 复制链接去分享

不懂

0

君子兰123 复制链接去分享

我们很少用这个来统计

0

君子兰123 复制链接去分享

我们很少用这个来统计

0

1788814708204654 复制链接去分享

用redis缓存一下发送记录 设置过期时间 没到过期时间就不允许发送 很简单的

0

1936318607490495 复制链接去分享

应该配邮件推送更好吧😀

0

1349266837594694 复制链接去分享

不懂无力吐槽

0

灯芯人生路 复制链接去分享

不会是,同行的故意打击吧

0

饭娱咖啡 复制链接去分享

我是来学习的!楼主的几个方法也让我长见识了!

0

再见理想8 复制链接去分享

加密这个,360有个加固保,可以加固apk。效果还是可以的。

0

1513615118497909 复制链接去分享

服务器很稳定,但是没有防御

0

1353306605913537 复制链接去分享

都是浮云

3