网站注册页面的短信验证接口被利用了,有一个思路

2020-05-25 15:36:16 +08:00
 ksc010
今天刚发现看了下日志 每天发送几千条短信,都是恶意的,手机号应该是随机生成的
用了代理 ip

我现在有一个思路是 在注册页面执行一个耗费资源的 js 计算(比如 1-3s )
计算后得到一个结果,这个结果可以传递到后端,并且后端很容易能做出校验
目的就是增加对方破解的难度
最好是能利用一些 浏览器环境信息,还有用户行为啥的 (后端能验证下是否是机器人)
不知道这样可行么
4921 次点击
所在节点    程序员
43 条回复
superrichman
2020-05-25 18:15:53 +08:00
发个你的验证码的图片看看?
zhzbql
2020-05-25 18:19:07 +08:00
应该不是通过打码平台,打码平台识别一条验证码比你发一条短信的成本都高,估计还是验证码不够复杂可以通过机器识别。不然就是铁了心不计成本要搞你
ksc010
2020-05-25 18:44:52 +08:00
@zgzhang
@pws22
@superrichman
@zhzbql
我排查了日志 发下 都是直接请求的发送短信接口
没有请求验证码的记录
又仔细看了代码 发现是代码错误 。。。。具体 append 上去了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/675260

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX