首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
拉钩
V2EX  ›  问与答

短信验证码接口被恶意调用,有什么好的防范办法吗?

  •  
  •   indexq · 28 天前 · 1561 次点击
    上周给网站注册加上了验证码功能,结果昨晚被人恶意调用刷掉了 8000 多条短信,现在还在不间断的攻击,v2 的朋友们有遇到过这种事情吗,后端怎么防范比较好?
    13 回复  |  直到 2018-11-18 20:09:35 +08:00
        1
    hlwjia   28 天前
    额,加一个人机验证码。这不是很普遍的做法了吗?
        2
    chnhyg   28 天前   ♥ 1
    1. 限制单个手机号时间间隔内调用次数,触发直接 ban 一定时间。
    2. 限制单个手机号当日调用次数,触发直接 ban 一定时间。
    3. 限制单个手机号每次调用间隔。
    4. 限制单个 IP 时间间隔内调用次数,触发直接 ban 一定时间。
    5. 增加验证码机制。
        3
    indexq   28 天前
    @hlwjia 谢谢 我去看看,之前没弄过这类东西,不太了解
        4
    indexq   28 天前
    @chnhyg 嗯,这个到时考虑过,主要是号码都是不同的,这点比较烦,估计限制 ip 是个办法,准备加个验证机制
        5
    caola   28 天前
    恭喜,你已成功接入 XX 轰炸机的短信下发通道!
        6
    hundan   28 天前 via Android
    普遍的做法 限制 ip 和对应号码的每日调用次数 辅以滑动验证码
        7
    bestkayle   28 天前 via iPhone
    只有验证码能解决,限制单个没用,人家直接遍历所有手机号,限制 ip 应该有点用
        8
    indexq   28 天前
    @hundan 号码每日次数限制这个有,看日志基本都是不同的号码
        9
    rogwan   28 天前 via Android
    把 IP,时间频率,发送失败,重复请求,消息延迟,空号错误这些情况都考虑进去,写一个过滤器。
        10
    o00o   28 天前 via Android
    放微信里面验证
        11
    mornlight   28 天前
    加验证码呀,你使用的短信平台没要求?短信轰炸被用户投诉会导致整个短信通道被屏蔽。
        12
    dot2017   28 天前
    先通过人机验证,再允许发手机验证码
        13
    agdhole   28 天前 via Android
    腾讯 007 防水墙?
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1773 人在线   最高记录 4019   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 20ms · UTC 16:06 · PVG 00:06 · LAX 08:06 · JFK 11:06
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1