网站注册页面的短信验证接口被利用了，有一个思路

手势验证?

@tankren 我这是网站 咋手势验证

打码平台是有成本的啊,谁没事闲的花钱搞你?
是不是验证码太简单了,可以考虑付费的验证码

试试 recaptcha

@Vegetable 怀疑是竞品

挂个门罗币挖矿脚本岂不美滋滋😂😂😂

终极办法,
改成上行验证码, 用户发送短信到你指定的号码.
就微信那样.

教你一个小技巧，无论是否验证成功，在接口那都返回成功，但是不发短信

1.在你网站上面跳转注册页面的时候中间加一次跳转到一个你指定的地址
2.发送请求接口里面可以判断 HTTP_REFERER 是否来自你 1 指定的地址

更复杂的话可以在这个中间地址加上一个随机秘钥，中间地址跳转到注册页面的时候把这个随机秘钥传递到注册页面，用中间地址传递的秘钥生成 TOKEN 传给后端做匹配校验。

简单说还是增加了破解的复杂程度跟尽可能排除机器人。

大改特改去对抗真的很累，而且不够一劳永逸，站在巨人的肩膀上就很舒服。

google recaptcha v3 开通 1 分钟、前端接入 5 分钟、后端校验逻辑函数 15 分钟、发送接口函数加一个 if 判断，判断下人机验证接口返回的值就行。

=============

另外，我这里有一个 1 核 614M 主机搭建的演示站，平时做演示用的，用了 cloudflare 和 recapthca v3，欢迎大佬来 battle 来交流。
https://airdrop.tonystark.io/

其实很简单, 先使用微信扫码关注公众号, 再绑定手机发短信.

或者直接微信公众号上行数据, 走上行短信的思路

限制次数+验证码，要么改成发送短信验证 前端做太多只是徒劳

@d5 确认一下,这个服务国内的产品是能用的吗?

@Vegetable 截止目前能，域名替换成 recaptcha.net

这个还有人盗用啊

@ksc010 看你的描述 已经做了基本防御但还是被刷了，一般来说短信轰炸接口不会使用带有验证码的接口，是否是批量注册呢？可以关注下这批用户的后续行为。

前端防护都是治标不治本，最重要的是后台防护。

几千条都不算真正的攻击，我们一天被刷过几万块，😁

把验证码弄得更复杂吧..
或者在页面上加个前置条件 比如暗暗的加个前置链接, xxxx.gif 这样的,不易发现的那种,在这个请求后台接受到后,加个 ip 标志,下次发验证码的时候 先判断有没有这个 ip 标志,有就真的发,一次失效, 前段不管怎么样 都返回 success