?驗(yàn)證碼短信屬于移動(dòng)集團(tuán)非常優(yōu)質(zhì)的短信應(yīng)用�,但近期接移動(dòng)集團(tuán)反饋:部分用戶投訴連續(xù)收到莫名驗(yàn)證碼短信�����,而用戶本身并未在該相關(guān)網(wǎng)站獲取驗(yàn)證碼���,影響用戶正常的工作�、生活�,從而產(chǎn)生大量投訴,同時(shí)對客戶的品牌形象���、經(jīng)濟(jì)投入也造成非常大的影響���。
經(jīng)分析該問題是由一種互聯(lián)網(wǎng)惡意攻擊方法–“短信轟炸機(jī)”形成�����,該攻擊方式循環(huán)利用不同業(yè)務(wù)中的注冊邏輯向任意非注冊的手機(jī)號碼發(fā)送短信動(dòng)態(tài)驗(yàn)證碼(如用戶注冊�����、短信驗(yàn)證碼登錄�、好友邀請����、密碼找回��、郵箱綁定等等)��,甚至可向多個(gè)手機(jī)用戶同時(shí)連續(xù)發(fā)送大量驗(yàn)證碼短信�����,嚴(yán)重影響用戶的正常使用����,造成不良影響與大量投訴。
由于投訴量與端口關(guān)停���、處罰等緊密相關(guān)���,相關(guān)行為也會(huì)對客戶的正常業(yè)務(wù)造成嚴(yán)重影響及品牌形象的損失?����!秳?dòng)態(tài)短信驗(yàn)證碼安全防護(hù)方案》是針對動(dòng)態(tài)短信驗(yàn)證碼功能的安全實(shí)施方法與要求��,適用于具備動(dòng)態(tài)短信驗(yàn)證碼功能的業(yè)務(wù)與系統(tǒng)。請相關(guān)客戶對驗(yàn)證碼類信息下發(fā)機(jī)制進(jìn)行優(yōu)化����,主要有如下動(dòng)態(tài)短信驗(yàn)證碼安全防護(hù)方案,供大伙們參考:
證碼新銳.jpg)
方案1���、使用安全圖片驗(yàn)證碼:防止通過自動(dòng)化工具進(jìn)行攻擊請求��,圖片校驗(yàn)碼一定在要在點(diǎn)擊獲取短信驗(yàn)證碼之前���,從而起到校驗(yàn)作用,且每次在服務(wù)端動(dòng)態(tài)變化���。
方案2��、單IP的請求次數(shù)限定:防止攻擊者對服務(wù)器進(jìn)行大量無效請求(在圖片驗(yàn)證碼未破解的情況下���,自動(dòng)化工具形成錯(cuò)誤請求),增加服務(wù)器負(fù)擔(dān)����,根據(jù)業(yè)務(wù)情況設(shè)置ip限制次數(shù)
方案3����、單用戶動(dòng)態(tài)短信請求間隔時(shí)長限制:防止對單個(gè)用戶形成手工頻繁攻擊��;防止圖片驗(yàn)證碼失效后對用戶形成大量攻擊�。進(jìn)一步保障用戶體驗(yàn) 每次點(diǎn)擊短信驗(yàn)證碼�,倒計(jì)時(shí)的時(shí)間戳在60秒以上,即當(dāng)單個(gè)用戶請求發(fā)送一次動(dòng)態(tài)短信之后�����,服務(wù)器端鎖定60秒(以上)后���,才能進(jìn)行第二次動(dòng)態(tài)短信請求���。
方案4、單用戶獲取動(dòng)態(tài)驗(yàn)證碼次數(shù)限制:防止因圖片驗(yàn)證碼被破解����,用戶頻繁收到莫名驗(yàn)證碼短信。一般單個(gè)用戶請求短信驗(yàn)證碼次數(shù)限制:一小時(shí)不超過3條��,24小時(shí)不超過5條����。此限制只針對獲取短信驗(yàn)證碼模塊生效�,客戶其他業(yè)務(wù)(訂單通知�����、支付確認(rèn)等)可根據(jù)實(shí)際情況選擇是否限制��。
發(fā)布日期:2022.12.09
