您的位置:首页>>移动互联

短信易被薅羊毛,安全风控不可少

发布时间:2019-05-16 10:10:54  来源:互联网    背景:

  在移动互联网时代,大量的网站、手机app和小程序等都在使用短信验证码作为验证用户身份的安全技术措施。在电商节和节假日期间,企业的促销、抽奖、互动活动等也让会员营销短信迎高峰期,生活中企业与用户之间用到短信的场景非常频繁。

  但根据创蓝253多年的服务经验来看,企业短信验证码遭到盗刷刷量的现象也不在少数。曾经出现不少企业用户业务的短信验证码功能被攻击,短信接口被恶意利用,导致业务无法正常访问的情况。此外,短信遭受盗刷也会造成企业营销和运营资金的流失。

  创蓝253提出了八招防范短信接口被刷的方法:

  第一,手机号码的有效性和真实性检测:在注册登录窗口增加号码的真实性和有效性检测,防止恶意盗刷者使用无效的或非法的号码,第一时间屏蔽乱码数字的号码。

  第二,隐藏的验证码随机校验在注册页添加个隐藏的的随机验证码,发短信前验证一下,确保短信验证码的请求是在真实的页面上点击。

第三,增加一些简单的图形验证码:在用户进行“获取动态短信”操作前,先让用户识别图片验证码,通过图形验证后,才能将动态的短信验证码发送到用户手上,该方法可有效缓解短信轰炸问题。

  第四,同号码短信发送频率限制:一般来说,无论是短信服务商还是企业,都应该设置同一号码的短信验证码请求限制,当单个用户请求发送一次动态短信之后,服务器端应该限制在一定时长之后(此处一般为30-60秒),才能进行第二次动态短信请求。该功能可进一步保障用户体验,避免包含手动攻击恶意发送垃圾验证短信。

  第五,不同号码请求数量限制:根据业务特点,针对不同手机号码、不同访问源IP访问请求进行频率限制,防止高并发非法请求消耗更多的短信包和服务器性能,提高业务稳定性。

  第六,场景流程限定:将手机短信验证和用户名密码设置分成两个步骤,用户在填写和校验有效的用户名密码后,下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验。

  第七,启用https协议:为网站配置证书,启用https加密协议,防止传输明文数据被分析。

  第八,单IP请求限定:同一IP和同一手机号码一样,当某个IP地址请求发送一次动态短信之后,服务器端应该限制在一定时长之后(此处一般为30-60秒),才能进行第二次动态短信请求。同时设置同一天同一IP的短信验证码请求次数限制,免攻击者通过同一个 IP 盗刷大量的企业短信验证码条数。

  创蓝253分控部门负责人认为:任何事情都需要一定的安全防控措施,企业可以根据业务的实际情况考虑,从以上的8个方法中选择并组合成最适合自身的最佳方案,防止短信接口被盗刷。并且提高技术人员在实际活动中的安全意识,提前防范风险。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
苹果官方发文警告用户尽快升级旧款设备/系统以避免出现重大故障
10月19日消息 据英国媒体报道,苹果正式对那些使用旧款iOS设备的用户发出警告,因为从11月3日开始,...
日期:10-19
中国企业成功研制5G网络智能110吨无人驾驶矿用车
据新华社报道,中国企业生产的5G网络智能110吨无人驾驶矿用车近期亮相江西南昌2019世界VR产业大会。...
日期:10-19
微信外链规范升级:持续打造长远健康的微信生态
10月18日,根据微信官方公众号“微信派”消息,微信外链规范即将进行更新升级,将新增和...
日期:10-19
告别埋头等车时代 高德实时公交就是准
10月18日,第六届世界互联网大会前夕,桐乡恒通公交集团联合高德地图正式发布, 高德实时公交能力全...
日期:10-18
北京垃圾扔错拟罚200元,腾讯手机管家“垃圾分类大师”小程序一键查询
近日,《北京市生活垃圾管理条例修正案(草案送审稿)》正式在首都之窗上公开征求意见,时间截止到11月1...
日期:10-18
腾讯安全:新型挖矿木马“快Go矿工”猛攻企业设备 IT行业成重灾区
近日,腾讯安全御见威胁情报中心捕获到一个利用多种攻击方式在内网传播的挖矿木马“快Go矿工&r...
日期:10-17
百度发布9月信息安全治理月报:百度网盘清理有害链接53万余条
10月17日,百度发布9月信息安全综合治理月报,向网民周知百度在处理网络虚假有害信息、保护网民权益...
日期:10-17
登榜毕马威全球科技颠覆者报告,百度APP靠的是这些黑科技
最近,全球四大会计事务所之一毕马威对全球12个国家,740名科技领袖进行了深入调研,并根据调研结果...
日期:10-16
小学生称用照片能开快递柜,丰巢紧急下线刷脸开锁功能
10月16日消息 我们知道,丰巢柜除了可以输入取件码取件之外也提供了刷脸取件。但据杭州新闻客户端报...
日期:10-16
华为P30一夜跌至“清仓价”,网友:现在终于是时候入手了!
华为P30是一款上半年发布的旗舰手机,也被大众消费者视为是国产手机行业最佳的旗舰手机,不仅仅是国...
日期:10-15
魅族Flyme 8最新体验版发布,新增前置超级夜景
10月15日消息 魅族Flyme 8.19.10.15 beta体验版现已更新,主要为魅族16系机型带来了逆光自拍模式和...
日期:10-15
美团上线语音点外卖应用
10月14日消息 今日中国盲人协会与美团发布了 “美团语音盲人定制应用”,该应用可通过美...
日期:10-14
小觅智能CEO庞琳勇博士亮相赛灵思开发者大会
一年一度的赛灵思开发者大会(SDF)于10月1日-2日在美国加州圣何塞成功举办。立体视觉技术解决方案提...
日期:10-14
输入法因AI技术加持 真正意义上解放双手
在使用手机的两种沟通方式中,语音输入相对于文字输入来说更加便捷,也能解放双手。但大多数输入法...
日期:10-12
手机照片删除了怎么恢复?第三招成功率高达98%
手机照片删除了怎么恢复?照片是我们手机中重要的一个数据项,不论是平时的自拍,还是日常生活中拍的...
日期:10-12
数字尾巴专业评测:百度输入法实力演绎“用户想要的亚子我都有”
当代社交最重要的技能是什么?“斗图”绝对是标准答案之一。
日期:10-12
Larry Wall已批准将Perl 6重命名为Raku
Perl 6 最初被认为是 Perl 的下一版本。花费很长时间才能成熟并有了初始版本。而与此同时,对 Perl ...
日期:10-12
谁是最值得安装的输入法?专业媒体测评:百度输入法更胜一筹
还在用手机自带的输入法?怪不得你的手机不好用!一款好用、聪明的手机输入法能大幅度提升手机使用的...
日期:10-12
AI最先取代的不是生产力工种,而是玩游戏的人
昨天,在一次面向Edge杂志的访谈中,Google的工程VP Madj Bakar称,延迟表现是决定云游戏成败的关键...
日期:10-11
  专栏介绍
王涵 的专栏
王涵发表的文章
积分:
自我介绍 :