网站被恶意调用发送验证码接口，已经要疯了！！！

前端有一个调用发送验证码的网页，估计被哪个别人有心的人恶意调用了，现在数据库不断在 insert 数据验证码的记录，有一个手机号多达 800 多次。目前已经限制每个手机号 5 分钟内只能发 5 条，但是对方换了策略，发了 N 多个手机号，天啊！求对策！

homfen

2016-02-19 13:58:26 +08:00

加个验证码呀，输入验证码才会发送短信，估计被利用做短信轰炸了

RangerWolf

2016-02-19 14:00:03 +08:00

目前我感觉你能做的有两个事情：
1. IP 限制
2. 修改 php 的名字~ 然后调用的代码相应的也修改

coosir

2016-02-19 14:01:25 +08:00

我们遇到的是各种不同的 IP 和不同的手机号，防不胜防
有效的办法就是加图形验证码

istark

2016-02-19 14:03:51 +08:00

短信轰炸机用了你们短信验证码，以前我看到有人先邮箱验证，收到邮件在短信验证，再限制一些其他的，这个虽然繁琐了，效果会好点。

realpg

2016-02-19 14:04:06 +08:00

不带验证码就能发短信，你们这系统设计的人是 out of date 多久了……

killerv

2016-02-19 15:11:50 +08:00

加验证码是最合适的方法吧，个人觉得限制 ip 有可能会误杀。

tonghuashuai

2016-02-19 15:15:23 +08:00

图片验证码+频率验证策略基本可以解决这个问题

zxgngl

2016-02-19 15:32:22 +08:00

说句题外话，我觉得现在随便注册什么帐号就要验证并绑定手机号本身就是一个 bug 。

aprikyblue

2016-02-19 15:42:38 +08:00

先图形验证码过了才让发短信验证

Raidal

2016-02-19 15:49:04 +08:00

先加图形验证码才允许发短信，这个策略很多短信服务商都有相关的安全提醒

Light3

2016-02-19 15:51:49 +08:00

- - 你的短信商没有一个小时就让发 3 个的限制吗

pyshift

2016-02-19 17:40:56 +08:00

我很好奇，运营商居然没有屏蔽你。不知道用得哪家的服务，一般都会直接屏蔽拉黑你才对啊。图验和 IP 监控其实只是增加难度而已，图验一般立竿见影， IP 地址搞个代理你就傻眼了。

wd0g

2016-02-19 19:36:34 +08:00

一般每个手机号,每天设置 3 次验证码就 OK 了

sding

2016-02-19 19:44:49 +08:00

设计系统时没考虑到这种情况？？？加图验

KevinChan

2016-02-19 19:46:30 +08:00

那就用邮箱注册呗，手机验证码注册的除非必须，否则就不注册

flyingnn

2016-02-19 20:01:08 +08:00

京东，百度的注册是没有图片验证码的，是钱嗯，还是防御技术？

lutla

2016-02-19 20:03:11 +08:00

一看就是被 0gtx 那批人给利用了 233

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/257591

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.