网站注册页面的短信验证接口被利用了，有一个思路

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 2212 days ago, the information mentioned may be changed or developed.

今天刚发现看了下日志每天发送几千条短信，都是恶意的，手机号应该是随机生成的
用了代理 ip

我现在有一个思路是在注册页面执行一个耗费资源的 js 计算（比如 1-3s ）
计算后得到一个结果，这个结果可以传递到后端，并且后端很容易能做出校验
目的就是增加对方破解的难度
最好是能利用一些浏览器环境信息，还有用户行为啥的（后端能验证下是否是机器人）
不知道这样可行么

Supplement 1 · May 25, 2020

1. 目前是有验证码相对来说挺复杂的（有混淆）但是现有的 dama 平台是可以破解的
2. 限制了单个 ip 单个手机号的发送次数，但是对方用了代理手机号也不重复（前几位都是固定的几组比如 1863321 这样的后几位随机）

目前通过一些简单的手段暂时暂时识别出来对方“身份”，然后返回发送成功（实际没有发送短信）
但这个不是长久方法，一旦对方反应过来，这个方法就失效了

Supplement 2 · May 25, 2020

我真是服了

排查了下发现原来一个同事代码写错了

有一个判断特殊情况下不需要发送验证码（增加了时间限制，短期内有效）

但是他把代码写成了

if (!is_xxxx){
执行验证码验证逻辑
}

对我们用的是 php，is_xxxx 这个变量没有加$
然后就一直是 false

Supplement 3 · May 25, 2020

最后根据大家的回复，在现有方案上总结几点优化方案

0. 增加图形验证码，并确定有效
1. 校验图形验证码获取和校验的时间间隔不能太短也不能太长
2. 校验图形验证码获取和校验时候的 ip 是否一样一般用户不会频繁切换 ip
3. 校验 session 存活时间是否合理
4. 校验是否请求了必定会请求的页面（图片，css 等都可以）
5. 不提示具体验证错误原因

验证

页面

短信

思路

43 replies • 2020-05-25 18:44:52 +08:00

Croxx

May 25, 2020 via iPhone

lz 验证码呢？

ksc010

May 25, 2020

@Croxx 有验证码的杂色划线干扰字符都有

sunziren

May 25, 2020

发短信之前先填写验证码，完了之后才可以输入手机号码如何？

whitev2

May 25, 2020

挖矿 5s ？

wbrobot

May 25, 2020

验证邮箱免费

ksc010

May 25, 2020

@sunziren 现在就是这样子的

Cmdhelp

May 25, 2020

滑块

labulaka521

May 25, 2020 via Android

验证码估计很简单

kucy

May 25, 2020

上行参数加密。https://www.sojson.com/jscodeconfusion.html

imaning

May 25, 2020

我用的极验

iamverylovely

May 25, 2020

感觉验证码没起到作用啊，必须输入验证码，验证码正确，才能发短信，一次失效，应该是不会有这种问题的吧

wanwaneryide

May 25, 2020

手机号不一定是随机的，有可能被拿来做短信轰炸了，基本上这类软件都是这样的。

ychost

May 25, 2020

挖矿吧，前端挖 0.00001 个 ETH，然后才给验证码，这样既满足了楼主的需求，还能浪费电

justseemore

May 25, 2020

比如加载某个比较小的图片.. 改成后端数据流渲染,然后 js 判断是否是无头浏览器, 如果没有加载图片,就认为是机器呗,验证码不实际发送,返回发送成功,后台记录就好

brader

May 25, 2020

可提供如下参考思路：
一：接口设计加一个 sign 字段，sign 不对的都为非法请求（这条只能拦截初级程序员，网页端源码较容易看到，APP 端需要反编译，能稍微提高一定的技术门槛吧）。
二：限制每个 IP 每天发送短信的频率。
三：增加一些技术成熟的验证码功能（如：极验）。
四：表单请求中，附带 token，避免重复提交。
五：APP 的话，可以要求前端传递设备唯一标识号。
六：后端捕获到客户端频繁、严重违反上诉行为的，直接封 IP 、封设备、封账号。
七：对于违反上诉行为的，后端不要返回具体错误原因给客户端，返回一个模糊错误即可，这样能增加客户端猜解接口报错原因的难度。

coolcoffee

May 25, 2020

我觉得还是加个图形验证码或者交互验证码作为前置吧，万一攻击者拿其他肉鸡作为运算机器呢。

ksc010

May 25, 2020

@iamverylovely 目前验证码相对来说挺复杂的（有混淆）但是先有的 dama 平台是可以破解的
早就限制了单个 ip 单个手机号的发送次数，但是对方用了代理手机号也不重复
@wanwaneryide 是随机的前几位都是固定的几组比如 1863321 这样的

brader

May 25, 2020

另外，还有一些巧妙的防御思路，自己可以花点心思琢磨：
比如：接口调用顺序（一般用户去你网址注册，会先去首页，再点注册），你发现这个客户端，直接就调用注册接口的，就可归类为非法请求。前提也是不要抛出具体错误原因给客户端，让客户端猜不出什么原因造成的非法请求。

其实，短信的攻防没有完美的解决方案，在于攻击你的人愿不愿意付出更多的成本来攻击你，也就是从你那里获得的回报要能大于他的付出，控制好这个点就 ok 了，你做了图片验证，他使用 OCR 和打码平台也是需要成本的，当成本高于收益，他自然不会干这种傻事

shiny

PRO

May 25, 2020

对于这条：1. 目前是有验证码相对来说挺复杂的（有混淆）但是现有的 dama 平台是可以破解的

破解也要花钱，如果成本和短信持平，那就没有动力来利用你的接口了。

ksc010

May 25, 2020

@brader 对这个方法也想来
同时加上 session 存活时间等等的判断

tankren

May 25, 2020

手势验证?

ksc010

May 25, 2020

@tankren 我这是网站咋手势验证

Vegetable

May 25, 2020

打码平台是有成本的啊,谁没事闲的花钱搞你?
是不是验证码太简单了,可以考虑付费的验证码

May 25, 2020

试试 recaptcha

ksc010

May 25, 2020

@Vegetable 怀疑是竞品

id7368

PRO

May 25, 2020 via iPhone

挂个门罗币挖矿脚本岂不美滋滋😂😂😂

gz911122

May 25, 2020

终极办法,
改成上行验证码, 用户发送短信到你指定的号码.
就微信那样.

arthas2234

May 25, 2020

教你一个小技巧，无论是否验证成功，在接口那都返回成功，但是不发短信

COKETSANG

May 25, 2020

1.在你网站上面跳转注册页面的时候中间加一次跳转到一个你指定的地址
2.发送请求接口里面可以判断 HTTP_REFERER 是否来自你 1 指定的地址

更复杂的话可以在这个中间地址加上一个随机秘钥，中间地址跳转到注册页面的时候把这个随机秘钥传递到注册页面，用中间地址传递的秘钥生成 TOKEN 传给后端做匹配校验。

简单说还是增加了破解的复杂程度跟尽可能排除机器人。

May 25, 2020

大改特改去对抗真的很累，而且不够一劳永逸，站在巨人的肩膀上就很舒服。

google recaptcha v3 开通 1 分钟、前端接入 5 分钟、后端校验逻辑函数 15 分钟、发送接口函数加一个 if 判断，判断下人机验证接口返回的值就行。

=============

另外，我这里有一个 1 核 614M 主机搭建的演示站，平时做演示用的，用了 cloudflare 和 recapthca v3，欢迎大佬来 battle 来交流。
https://airdrop.tonystark.io/