动态验证码安全防护方案,让短信接口更加安全
更新时间:2016-06-24 16:12:35 信息编号:4655301 发布者IP:58.60.168.45 浏览:276次- 供应商
- 深圳天健华信科技有限公司 商铺
- 认证
- 资质核验:已通过营业执照认证入驻顺企:第9年主体名称:深圳天健华信科技有限公司组织机构代码:91440300312000368Y
- 报价
- 人民币¥.04元每条
- 华信品牌
- 0.045
- 关键词
- 验证码安全防护方案,安全短信接口
- 所在地
- 深圳市南山区科伟路5号东方科技大厦2008
- 联系电话
- 0755-66812807
- 手机号
- 18310523050
- 商务经理
- 邢天 请说明来自顺企网,优惠更多
产品详细介绍
动态短信验证码安全防护方案 短信炸弹形成的原因是因为非授权的动态短信获取,而由于业务的需要(如注册、好友邀请等),在使用动态短信业务前系统并不能建立业务关联。因此,在未建立业务关联的情况下,需要进一步严格限制保证业务使用的安全性。 针对短信炸弹问题,建议综合采用:增加图片验证码、单 IP 请求次数限制、限制发送时长限制 3 个措施,防护“动态短信获取”功能与业务接口。
1 使用安全图片验证码 防止通过自动化工具进行攻击请求
2 单 IP 的请求次数限定 防止攻击者对服务器进行大量无效请求(在图片验证码未破解的情况下,自动化工具形成错误请求),增加服务器负担
3 单用户动态短信请求间隔时长限制 防止对单个用户形成手工攻击; 防止图片验证码失效后对用户形成大量攻击。
措施一:使用安全的图片验证码 恶意攻击者采用自动化工具,调用“动态短信获取”接口进行动态短信发送,究其原因是攻击者可以自动对接口进行大量调用。 采用图片验证码可有效防止工具自动化调用,即当用户进行“获取动态短信” 操作前,弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效解决被利用实施炸弹攻击的问题。 安全的图片验证码必须满足: 生成过程安全:图片验证码必须在服务器端进行产生与校验; 使用过程安全:单次有效,且以用户的验证请求为准; 验证码自身安全:不易被识别工具识别,能有效防止暴力破解。
措施二:单 IP 的请求次数限定 使用了图片验证码后,能防止攻击者有效进行“动态短信”功能的自动化调用;但若攻击者忽略图片验证码验证错误的情况,大量执行请求会给服务器带来额外负担,影响业务使用。建议在服务器端限制单个 IP 在单位时间内的请求次数,一旦用户请求次数(包括失败请求次数)超出设定的阈值,则暂停对该 IP 一段时间的请求;若情节特别严重,可以将 IP 加入黑名单,禁止该 IP 的访问请求。该措施能限制一个 IP 地址的大量请求,避免攻击者通过同一个 IP 对大量用 7 户进行攻击,增加了攻击难度,保障了业务的正常开展。 该阈值设定可依据业务的不同执行设定,一般情况下建议不超过 200 个/分钟。
措施三: 单用户动态短信请求间隔时长限制 为进一步优化业务正常使用,建议采用限制重复发送动态短信的间隔时长,即当单个用户请求发送一次动态短信之后,服务器端锁定如:30 秒后,才能进行第二次动态短信请求。该功能可进一步保障用户体验,并避免包含手工攻击恶意发送垃圾验证短信。
- 2016验证码短信接口0.07元/条
品牌0.05:100k - 企业短信企业短信企业短信营销短信短信提醒0.07元/条
10w:0.05 - 各行业验证码接口各行业验证码接口0.07元/条
10w:0.05 - 行业验证码和企业短信年关收量0.07元/条
10w:0.05