被验证码轰炸有危险吗
可能遇到以下3种情况。
1、因为受到大量验证码短信,所以你只是遇到了短信轰炸。网上有很多短信轰炸的工具平台,他们可以指定手机号,然后这些工具就调用各种网站的发送短信接口,(一般是登录、注册、找回登录密码。例如淘宝、饿了么、等)所以你收到了短信。
那问题是为什么你会收到短信呢?一般短信轰炸的目的有以下几种:
有人想恶心你,所以针对给你的手机号发送短信,这种情况你往往能收到很多公司的验证码短信;
有人闲得无聊,他们给各个手机号发送短信,这种情况,你往往只能收到1-2条;
有人想攻击某家网站的短信渠道,这种情况你能收到很多条,但是全是这家网站的;
2、可是你又遇到了各种陌生人电话,这是为什么。在互联网盗号诈骗的案例中,有一种很典型的攻击方式叫社工。主要表现是攻击者通过电话诈骗,获得你的一些敏感信息,比如姓名、身份证号、支付密码,获得这些信息后,再对你的手机号进行短信轰炸,让你觉得都是垃圾短信所以不关心来了什么消息,然后攻击者通过使用骗来的信息盗你的账号,即便有平台的风险提醒短信,你也没有关注,错失了最佳补救机会。
3、但是还有另一种可能,大量亲朋都收到电话,说有一个亲戚借钱不还。这个还真不像是诈骗,真的可能是此亲戚借钱没有还,催收团队会联系他的亲朋,这是很常见的手段。可是,这往往不会与短信轰炸并存,所以说不清楚。
如何防止登录API 被暴力攻击
需要限制一个账号或IP登录次数限制
第一,如果是开发API建议加入【访问频率】设置。例如,如果设置频率限制为每分钟1000次(可以是某个端口,每个ip等等),如果一分钟内超过这个限制,那么服务器就会返回 429: Too Many Attempts.响应。
第二,关于伪造IP地址的防范。你可以发送请求到对方ip地址,伪造的ip地址没有任何response
无论网站,还是App目前基本都是基于api接口模式的开发,那么api的安全就尤为重要了。目前攻击最常见的就是“短信轰炸机”,由于短信接口验证是App,网站检验用户手机号最真实的途径,使用短信验证码在提供便利的同时,也成了呗恶意攻击的对象,那么如何才能防止被恶意调用呢?
1.图形验证码:
将图形校验码和手机验证码进行绑定,在用户输入手机号码以后,需要输入图形校验码成功后才可以触发短信验证,这样能比较有效的防止恶意攻击。目前大部分应用都是采用这种方式。
2.限定请求次数:
在服务器端限定同IP,同设备,同时间范围内的接口请求次数。比如同一号码重复发送的时间间隔,一般为60或120秒;设置每个IP每天最大的发送量;设置单个手机号每天的最大发送量。
3.流程条件限定:
将手机短信验证放在最后进行,比如需要用户必须注册后,或者用不必须填写了某些条件才能进行短信验证。
4.归属地是否一致:
服务器端检查用户的IP所在地与手机号归属地是否匹配,如果不匹配则提示用户手动操作等。
5.服务器接口验证:
当用户登录成功后,返回一个由Token签名生成的秘钥信息(Token可使用base64编码和md5加密,可以放在请求的Header中),然后对每次后续请求进行Token的封装生成,服务器端在验证是否一致来判断请求是否通过。
6.采用https:
线上的api接口开启https访问,这样做的话别人抓包的难度会提高很多,而且https需要秘钥交换,可以在一定程度上鉴别是否伪造IP。
7.服务器端代理请求:
针对于网站,这也是解决跨域的方案之一,采用服务器代理可以有效的防止接口真实地址的暴露。
8.其它:
当接口存在大量肉鸡攻击的时候,攻击者也同样容易暴露意图,我们可以通过系统分析算法,让攻击者获取不到有效数据,提高攻击成本。
总结:
安全问题一直都是与攻击者之间智斗勇的问题,没有一劳永逸的解决方法,只有不断交锋,不断成长....
短信接口被恶意刷,怎么获取攻击者真实ip
换 IP 一般就三个方法:
1、通过代理
2、通过 VPN 换 IP
3、肉鸡
第一种的话,很可能有 X-Forward-For 段,可以检测一下,第二、第三种的话,貌似没什么好办法检测。不过可以考虑检测该 IP 之前是否有访问过网站(App),如果没有的话基本可以确认是攻击者的 IP 。
检测到后直接忽略掉该请求,但是还是要返回发送成功的信息,不要返回错误信息给攻击者,不然对方会改变攻击策略。
网站的短信验证码接口被人恶意刷,基本上一分钟消耗一千条,请问大家有这种经验么,该怎么处理?
结合题主的投票使用场景来看,验证码还是目前来说最优的选择,除了可以防止大批量密集请求短信服务,也可以防止有人利用卡池进行批量垃圾投票。现在性价比比较好的就是GEETEST极验。
防止短信接口恶意调用
前段时间,公司的短信接口被人恶意调用,给公司的业务和成本都带来了一定的影响。为了尽快止损,想出了以下几种方案来完善发短信模块,防止短信被刷。
通过时间戳生成 token ,保证 token 5分钟之内有效。在表单页面通过后端接口提前生成好 token ,用户在5分钟之内无需更新 token
优点: 短信接口必须携带 token 才能访问,调用需要鉴权
缺点: 为了兼容用户体验, token 必须有一定的有效期,用户在短时期内无需手动刷新页面更新 token
优点: 结合方法一的 token 鉴权,可以大部分过滤掉恶意调用的行为
缺点: 黑客可通过肉机+随机手机号的方式绕过限制
通过图形验证码、人机校验,在发送短信的行为端增高门槛,杜绝自动化调用。可通过方法二的限 ip ,防止攻击者忽略人机校验,大量执行请求给服务器带来额外负担
优点: 杜绝自动化调用
缺点: 图形验证码被自动化破解的概率较高,人机校验需要一定的成本
短信验证码接口被攻击怎么办?求支招
普通自开发
发送时间间隔
设置同一个号码重复发送的时间间隔,一般设置为60-120秒。该手段可以在一定程度上防止短信接口被恶意攻击,且对用户体验没有什么伤害。但是不能防止黑客更换手机号进行攻击,防护等级较低。
获取次数限制
限制某个手机号在某个时间段内获取短信验证码次数的上限。采用这种策略时在产品设计过程中,有几点需要注意。
定义上限值。根据业务真实的情况,甚至需要考虑到将来业务的发展定一个合适的上限值,避免因用户无法收到短信验证码而带来的投诉。
定义锁定时间段。可以是24小时,可以是12小时、6小时。需要根据业务情况进行定义。
IP限制
设置单个IP地址某个时间段内最大的发送量。该手段可很好的预防单一IP地址的攻击,但是也有两个很明显的缺点:
对于经常变更IP地址进行攻击的黑客,该手段没有很好的效果。
IP的限制经常会造成误伤。如在一些使用统一无线网的场所,很多用户连接着同一个无线网,这个IP地址就容易很快达到上限,从而造成连接该无线网的用户都无法正常的收到验证码。
图形验证码
在发送短信验证码之前,必须通过通过图形验证码的校验。这种手段相对来说可以防止某些攻击,因此也是目前非常普遍的短信防攻击机制。但是在使用过程中涉及到用户体验问题,不能简单粗暴地套用这一策略。以下几个点值得仔细考虑:
是不是每次获取短信验证码之前都需要用户输入图形验证码,一般来说这样做会极大地影响用户体验,虽然是相对安全,但是用户用着不爽了。
可以给一个安全范围。结合手机号限制、IP限制来考虑,比如同一个手机号当天第3次获取短信验证码的时候,出现图形验证码;比如同一个IP地址当天获取验证码次数超过100次后,出现图形验证码。
加密限制
通过对传向服务器各项参数进行加密,到了服务器再进行解密,同时用token作为唯一性识别验证,在后端对token进行验证,验证通过才能正常将短信发送。该手段可以在保证用户体验的情况下,可以有效防止某些攻击,因此也是目前比较常见的短信防攻击机制。同时也有很明显的缺点:
使用的加解密算法可能会被破解,需要考虑使用破解难度较大的加解密算法。
在算法不被破解的情况下可以有效防止报文攻击,但是无法防止浏览器模拟机式攻击。
以上是几种常见的短信风控策略,在具体的产品设计过程中,可以综合使用。
使用第三方防御
短信防火墙
为了在产品安全和优秀的用户体验之间寻找一个极佳的平衡。新昕科技的产品研发团队结合各种风控策略的优点研发出了一款短信防火墙。 从以下几个方面概括一下:
为保障优秀的用户体验,摈弃了目前影响用户体验最为严重的图形验证码等人机校验程序,做到无感验证。从而达到完美的用户体验。
结合用户的手机号码 、IP地址 、设备指纹三个唯一身份标识设置不同维度的风控策略。将各个维度之间相互配合,达到一个最为合理的风控限制指标。
根据业务情况自动伸缩风控限制,在检测处受攻击时自动加大风控限制力度,在正常是再归回到正常风控标准。
考虑到存在新老客户的区别,特意增加老客户VIP通道,在受到攻击时,风控指标紧缩的情况下,保证老客户通道畅通无阻,从而降低误伤率。
通过以上策略可以有防止黑客通过随意切换手机号及IP地址的方式可以刷取短信。同时加入模拟器检测,以及参数加密等风控策略,有效防止黑客攻击。
可通过风控防火墙控制台,实时观测风控结果,在受到攻击时达到第一时间预警的效果。
如需了解更多请关注新昕科技官网:newxtc.com
短信防火墙
请点击输入图片描述
请点击输入图片描述
短信防火墙
16678161057帮我处理一下这个手机号,一直被轰炸