网站注册页面的短信验证接口被利用了，有一个思路

lz 验证码呢？

@Croxx 有验证码的 杂色 划线 干扰字符 都有

发短信之前先填写验证码，完了之后才可以输入手机号码如何？

挖矿 5s ？

验证邮箱免费

@sunziren 现在就是这样子的

滑块

验证码估计很简单

上行参数加密。https://www.sojson.com/jscodeconfusion.html

我用的极验

感觉验证码没起到作用啊，必须输入验证码，验证码正确，才能发短信，一次失效，应该是不会有这种问题的吧

手机号不一定是随机的，有可能被拿来做短信轰炸了，基本上这类软件都是这样的。

挖矿吧，前端挖 0.00001 个 ETH，然后才给验证码，这样既满足了楼主的需求，还能浪费电

比如加载某个比较小的图片.. 改成后端数据流渲染,然后 js 判断是否是无头浏览器, 如果没有加载图片,就认为是机器呗,验证码不实际发送,返回发送成功,后台记录就好

可提供如下参考思路：
一：接口设计加一个 sign 字段，sign 不对的都为非法请求（这条只能拦截初级程序员，网页端源码较容易看到，APP 端需要反编译，能稍微提高一定的技术门槛吧）。
二：限制每个 IP 每天发送短信的频率。
三：增加一些技术成熟的验证码功能（如：极验）。
四：表单请求中，附带 token，避免重复提交。
五：APP 的话，可以要求前端传递设备唯一标识号。
六：后端捕获到客户端频繁、严重违反上诉行为的，直接封 IP 、封设备、封账号。
七：对于违反上诉行为的，后端不要返回具体错误原因给客户端，返回一个模糊错误即可，这样能增加客户端猜解接口报错原因的难度。

我觉得还是加个图形验证码或者交互验证码作为前置吧，万一攻击者拿其他肉鸡作为运算机器呢。

@iamverylovely 目前验证码相对来说挺复杂的（有混淆）但是先有的 dama 平台是可以破解的
早就限制了 单个 ip 单个手机号的发送次数，但是对方用了代理 手机号也不重复
@wanwaneryide 是随机的 前几位都是固定的几组 比如 1863321 这样的

另外，还有一些巧妙的防御思路，自己可以花点心思琢磨：
比如：接口调用顺序（一般用户去你网址注册，会先去首页，再点注册），你发现这个客户端，直接就调用注册接口的，就可归类为非法请求。前提也是不要抛出具体错误原因给客户端，让客户端猜不出什么原因造成的非法请求。

其实，短信的攻防没有完美的解决方案，在于攻击你的人愿不愿意付出更多的成本来攻击你，也就是从你那里获得的回报要能大于他的付出，控制好这个点就 ok 了，你做了图片验证，他使用 OCR 和打码平台也是需要成本的，当成本高于收益，他自然不会干这种傻事

对于这条：1. 目前是有验证码 相对来说挺复杂的（有混淆）但是现有的 dama 平台是可以破解的

破解也要花钱，如果成本和短信持平，那就没有动力来利用你的接口了。

@brader 对 这个方法也想来
同时加上 session 存活时间等等的判断