发表于: 2018-03-03 21:46:01

1 462


今天完成的事情:短信登录模块的继续完善

短信接口验证码是网站、App校验用户手机号码真实性的首要途径,在为网站及APP提供便利的同时,手机短信验证功能也会被部分用户和短信轰炸机进行恶意利用。如何才能防止被恶意点击呢?

容易被攻击的接口:注册时用户输入号码就可直接触发短信!最容易被短信轰炸机利用,只要网站被搜索引擎收录,短信轰炸机就很容易检索到注册页面。

推荐的以下几种对接方式:

1.【绑定图型校验码】——将图形校验码和手机验证码进行绑定,当用户输入手机号码以后,需要输入图形校验码才可以触发短信,这样能比较有效的防止软件恶意点击。现在大型网站都采用此方式。

如:http://reg.email.163.com/unireg/call.do?cmd=register.entrance&from=163mail_right

2.【流程限定】——将手机短信验证和用户名注册分成两个步骤,用户在注册成功用户名密码后,下一步才进行手机短信验证。

3.【触发条件】——用户必须填写好所有注册信息才可进行触发,注册资料不完整无法发送验证码。

附加对接设置:

4.【短信发送间隔设置】——设置同一号码重复发送的时间间隔,一般设置为60-120秒;

5.【IP限定】——设置每个IP每天的最大发送量;

6.【发送量限定】——设置每个手机号码每天的最大发送量


使用安全性较高的验证码生成:

前后端正则匹配校核:

短信接口防刷措施:

明天计划的事情:邮箱登录模块
遇到的问题:null
收获:学习了防攻击措施


返回列表 返回列表
评论

    分享到