茂业通信  (股票代码:SZ000889)旗下全资子公司

短信验证码安全防护方案(二)综合防护措施

2018-02-12 17:20:03

在上一篇《短信验证码安全防护方案(一)短信轰炸的原理》,我们了解了验证码短信接口遭受短信轰炸的原理,本篇将和大家介绍下具体的防护措施。我们知道短信轰炸形成的原因是因为非授权的动态短信获取,如用户注册时的手机验证短信,在用户获取验证码短信前系统并不能建立业务关联。因此,在未建立业务关联的情况下,需要进一步严格限制保证业务使用的安全性。我们可以综合采用:增加图片验证码、IP请求次数限制、单用户请求间隔时长限制3个措施,来保障验证码短信接口的安全性。

措施一:使用安全的图片验证码

采用图片验证码可有效防止采用自动化工具调用验证码短信接口,即当用户进行“获取短信验证码”操作前,弹出图片验证码,要求用户输入验证码后,服务器端再发送验证短信到用户手机上。安全的图片验证码必须满足:
  • 生成过程安全:图片验证码必须在服务器端进行产生与校验;
  • 使用过程安全:单次有效,且以用户的验证请求为准;
  • 验证码自身安全:不易被识别工具识别,能有效防止暴力破解。
图片验证码

措施二:单IP对验证码短信接口的请求次数限定

使用了图片验证码后,能防止攻击者对验证码短信接口的自动化调用;但若攻击者忽略图片验证码验证错误的情况,大量执行请求会给服务器带来额外负担,影响业务使用。此时可以在服务器端限制单个IP在单位时间内的请求次数,一旦用户请求次数(包括失败请求次数)超出设定的值,则暂停对该IP一段时间的请求;若情节特别严重,可以将IP加入黑名单,禁止该IP的访问请求。该措施能限制一个IP地址的大量请求,避免攻击者通过同一个IP对大量用户进行攻击,增加了攻击难度,保障了业务的正常开展。

措施三:单用户请求间隔时长限制

为进一步优化业务正常使用,可以采用限制重复发送短信验证码的间隔时长,即当单个用户请求发送一次短信验证码之后,服务器端锁定如:30秒后,才能进行第二次请求。该功能可进一步保障用户体验,并避免包含手工攻击恶意发送大量验证码短信。

Copyright 2004-2018 北京创世漫道科技有限公司 

公司地址:北京市海淀区万柳亿城中心B座9-10层 邮编:100089

京ICP备10010630号-1

备案编号:京公网安备110108400988 版权所有,未经许可,任何个人或者公司都不得翻版镜像复制,违者必究