簡訊驗證碼介面安全防護措施
在上一篇《簡訊驗證碼介面攻擊(簡訊轟炸)原理分析》,我們瞭解了驗證碼簡訊介面遭受簡訊轟炸的原理,本篇將和大家介紹下具體的防護措施。我們知道簡訊轟炸形成的原因是因為非授權的動態簡訊獲取,如使用者註冊時的手機驗證簡訊,在使用者獲取驗證碼簡訊前系統並不能建立業務關聯。因此,在未建立業務關聯的情況下,需要進一步嚴格限制保證業務使用的安全性。我們可以綜合採用:增加圖片驗證碼、IP請求次數限制、單使用者請求間隔時長限制3個措施,來保障驗證碼簡訊介面的安全性。
措施一:使用安全的圖片驗證碼
採用圖片驗證碼可有效防止採用自動化工具呼叫驗證碼簡訊介面,即當用戶進行“獲取簡訊驗證碼”操作前,彈出圖片驗證碼,要求使用者輸入驗證碼後,伺服器端再發送驗證簡訊到使用者手機上。安全的圖片驗證碼必須滿足:
- 生成過程安全:圖片驗證碼必須在伺服器端進行產生與校驗;
- 使用過程安全:單次有效,且以使用者的驗證請求為準;
- 驗證碼自身安全:不易被識別工具識別,能有效防止暴力破解。
措施二:單IP對驗證碼簡訊介面的請求次數限定
使用了圖片驗證碼後,能防止攻擊者對驗證碼簡訊介面的自動化呼叫;但若攻擊者忽略圖片驗證碼驗證錯誤的情況,大量執行請求會給伺服器帶來額外負擔,影響業務使用。此時可以在伺服器端限制單個IP在單位時間內的請求次數,一旦使用者請求次數(包括失敗請求次數)超出設定的值,則暫停對該IP一段時間的請求;若情節特別嚴重,可以將IP加入黑名單,禁止該IP的訪問請求。該措施能限制一個IP地址的大量請求,避免攻擊者通過同一個IP對大量使用者進行攻擊,增加了攻擊難度,保障了業務的正常開展。
措施三:單使用者請求間隔時長限制
為進一步優化業務正常使用,可以採用限制重複傳送簡訊驗證碼的間隔時長,即當單個使用者請求傳送一次簡訊驗證碼之後,伺服器端鎖定如:30秒後,才能進行第二次請求。該功能可進一步保障使用者體驗,並避免包含手工攻擊惡意傳送大量驗證碼簡訊。
相關推薦
簡訊驗證碼介面安全防護措施
在上一篇《簡訊驗證碼介面攻擊(簡訊轟炸)原理分析》,我們瞭解了驗證碼簡訊介面遭受簡訊轟炸的原理,本篇將和大家介紹下具體的防護措施。我們知道簡訊轟炸形成的原因是因為非授權的動態簡訊獲取,如使用者註冊時的手機驗證簡訊,在使用者獲取驗證碼簡訊前系統並不能建立業務關聯。因此,在未建立
ThinkPHP5聚合資料簡訊驗證碼介面實現註冊/忘記密碼功能
1、前端頁面主要程式碼 這裡點擊發送驗證碼按鈕通過ajax將相關資訊傳到後端getSms方法中。 <form class="form-horizontal form-signin" method="post" action="{:url('register/forget')
簡訊驗證碼介面【JAVA】
平臺接入簡訊驗證碼,需要先獲取APPID和APPKEY,然後需要引入一個JAR包。如果專案是maven專案的話直接把下面程式碼加到pom檔案 <!-- https://mvnrepository.com/artifact/org.apache.httpcomponents/
【Java分享】3分鐘接入簡訊驗證碼介面的全過程,只需3步。
簡訊驗證碼是目前使用者身份驗證最有效的手段,具有便捷和唯一性,是識別使用者身份最快速的方式。其實接入簡訊驗證碼也不是很麻煩和費時間的事情,按照我說的做,只需要大約3分鐘、3個步驟就輕鬆完成。 首先去簡訊平臺申請賬號,獲取介面地址和介面文件以及返回值。這都是接入簡訊驗證碼前的準備。
spring-security-oauth2(六) 簡訊驗證碼介面開發
簡訊驗證碼介面開發 簡訊驗證碼生成介面 簡訊驗證碼傳送介面 簡訊生成策略模板模式重構 1.簡訊驗證碼介面開發 1.1簡訊驗證碼生成介面 傳送簡訊驗證碼controller package com.rui.tiger.auth.core.captcha; i
簡訊驗證碼介面被惡意攻擊怎麼辦?
簡訊介面驗證碼通常用於電商、手機APP、網上銀行、社交論壇等網際網路行業,通過簡訊驗證碼進行身份二次驗證,確保使用者身份真實有效。但是,最近有很多使用者莫名收到各類註冊簡訊、驗證簡訊等,技術人員排查,發現是簡訊驗證碼介面被惡意攻擊了,導致驗證碼介面被刷。那麼該如何避免被刷呢
C# 開發(創藍253)手機簡訊驗證碼介面的例項
創藍253: https://www.253.com/ ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
java叮咚雲簡訊驗證碼介面呼叫
最近在寫後臺,所以有些方法想記錄下來,下面是叮咚雲簡訊驗證碼介面呼叫,叮咚雲的地址http://www.dingdongcloud.com/,裡面有詳細的資訊,下面是我寫的一個方法,僅供參考。 import java.io.UnsupportedEncodin
簡訊驗證碼介面的實現
程式碼: sendsms.java //介面型別:互億無線觸發簡訊介面,支援傳送驗證碼簡訊、訂單通知簡訊等。 // 賬戶註冊:請通過該地址開通賬戶http://sms.ihuyi.com/register.html // 注意事項: //(1)除錯期間,請用預設的模板
接收簡訊訊息介面API,使用ajax跨域無重新整理實現根據手機號碼傳送6位簡訊驗證碼
應用場景:登入驗證,註冊賬號,密碼找回,繫結手機號等功能 1. 本介面採用的是聚合資料介面:https://www.juhe.cn/docs/api/id/54 2. 首先,註冊賬號申請快遞單號介面:獲取申請的key 3. 簡訊模板申請 3.1. 因為等會需
java後臺呼叫簡訊介面,實現傳送簡訊驗證碼的控制層實現
1.設計:使用者填寫手機號,點選獲取驗證碼按鈕,controller層獲得所要傳送驗證碼的手機號,隨機生成六位數的驗證碼。呼叫傳送簡訊介面url向此手機號傳送驗證碼。注意:下面的程式碼採用的是雲信使的簡訊驗證碼介面,不同的驗證碼更換不同的url格式,即可。 `
簡訊介面安全防護策略
1. 限制同裝置標識,同IP,同手機號的傳送次數 增加簡訊介面的流控,通過請求獲取使用者裝置標識,IP,及手機號的資訊,使用者這三個屬性有一個相同,則認為是同一客戶端。針對同一客戶端,限制每個客戶端單位時間內呼叫簡訊介面的次數,如一分鐘呼叫一次。 2. 設定裝置標識,IP
java調介面實現傳送手機簡訊驗證碼功能,手機驗證碼,介面呼叫
近來由於專案需要,需要用到手機簡訊驗證碼的功能,其中最主要的是用到了第三方提供的簡訊平臺介面WebService客戶端介面,下面我把我在專案中用到的記錄一下,以便給大家提供個思路,由於本人的文采有限,還請大家見諒! 一:首先上幾張案例截圖,以便大家可以瞭
介面測試中獲取簡訊驗證碼出錯或者失效
在介面測試中,會有一部分需要獲取簡訊驗證碼,如:登入,充值,綁卡等等的一些操作 對於這類的介面,在做介面測試時,需要按照系統正常的操作流程,將介面按照順序呼叫執行,通過介面的呼叫,形成一個具體的業務過程,拿登入來說: 如果按照產品操作,只是資料使用者名稱,
JAVA呼叫中國網建介面實現傳送簡訊驗證碼
import java.io.UnsupportedEncodingException; import org.apache.commons.httpclient.Header; import org.apache.commons.httpclient.Http
Android 手機獲取簡訊驗證碼—自帶UI介面
第三方框架:簡訊驗證,我比較喜歡直來直去,多餘的話不講,直接上程式碼,這裡主要講的是在android studio中的詳細步驟。 選擇Studio下載 建立應用,包名必須與建立的專案包名一致。 建立好應用以後會給你App Ke
簡訊驗證碼、簡訊服務商介面---PHP---對接創藍253雲通訊平臺
if(function_exists('curl_init')){ $ch = curl_init (); curl_setopt ( $ch, CURLOPT_POST, 1 );
簡訊驗證碼驗證機制 服務端獨立介面實現
在日常業務場景中,有很多安全性操作例如密碼修改、身份認證等等類似的業務,需要先簡訊驗證通過再進行下一步。 一種直接的方案是提供2個介面: 1.SendActiveCodeFor密碼修改,傳送相應的簡訊+驗證Code。 2.VerifyActiveCodeFor密碼修改,引數帶入手機接收到的簡訊驗證Code,服
【原始碼分享】簡訊驗證碼如何對接 WordPressv4.0,簡訊外掛
對接簡訊的時候發現一家簡訊公司,有些不錯的簡訊驗證碼的外掛,對接起來挺方便的,有需求的可以看一下。http://www.ihuyi.com/外掛說明本外掛系互億無線針對Wordpress開發,請按以下說明進行安裝,外掛內的所有檔案均為對原檔案的修改,如果你的系統經過二次開發,安裝本外掛之前,請仔細核對修改。
【外掛分享】簡訊驗證碼對接TPShop,簡訊功能
找到了一家不錯的簡訊外掛,有需要對接的可以檢視學習,在這邊分享一下,有需要的可以詳細看看,瞭解一下。http://www.ihuyi.com/ 外掛說明 本外掛系互億無線針對TPSHOP簡訊外掛開發,外掛內的所有檔案均為對原檔案的修改,如果你的系統經過二次開發,安裝本外掛之前,請仔細核對修改。 功能介紹