您的位置:首页>>移动互联

短信易被薅羊毛,安全风控不可少

发布时间:2019-05-16 10:10:54  来源:互联网    采编:王涵  背景:

  在移动互联网时代,大量的网站、手机app和小程序等都在使用短信验证码作为验证用户身份的安全技术措施。在电商节和节假日期间,企业的促销、抽奖、互动活动等也让会员营销短信迎高峰期,生活中企业与用户之间用到短信的场景非常频繁。

  但根据创蓝253多年的服务经验来看,企业短信验证码遭到盗刷刷量的现象也不在少数。曾经出现不少企业用户业务的短信验证码功能被攻击,短信接口被恶意利用,导致业务无法正常访问的情况。此外,短信遭受盗刷也会造成企业营销和运营资金的流失。

  创蓝253提出了八招防范短信接口被刷的方法:

  第一,手机号码的有效性和真实性检测:在注册登录窗口增加号码的真实性和有效性检测,防止恶意盗刷者使用无效的或非法的号码,第一时间屏蔽乱码数字的号码。

  第二,隐藏的验证码随机校验在注册页添加个隐藏的的随机验证码,发短信前验证一下,确保短信验证码的请求是在真实的页面上点击。

第三,增加一些简单的图形验证码:在用户进行“获取动态短信”操作前,先让用户识别图片验证码,通过图形验证后,才能将动态的短信验证码发送到用户手上,该方法可有效缓解短信轰炸问题。

  第四,同号码短信发送频率限制:一般来说,无论是短信服务商还是企业,都应该设置同一号码的短信验证码请求限制,当单个用户请求发送一次动态短信之后,服务器端应该限制在一定时长之后(此处一般为30-60秒),才能进行第二次动态短信请求。该功能可进一步保障用户体验,避免包含手动攻击恶意发送垃圾验证短信。

  第五,不同号码请求数量限制:根据业务特点,针对不同手机号码、不同访问源IP访问请求进行频率限制,防止高并发非法请求消耗更多的短信包和服务器性能,提高业务稳定性。

  第六,场景流程限定:将手机短信验证和用户名密码设置分成两个步骤,用户在填写和校验有效的用户名密码后,下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验。

  第七,启用https协议:为网站配置证书,启用https加密协议,防止传输明文数据被分析。

  第八,单IP请求限定:同一IP和同一手机号码一样,当某个IP地址请求发送一次动态短信之后,服务器端应该限制在一定时长之后(此处一般为30-60秒),才能进行第二次动态短信请求。同时设置同一天同一IP的短信验证码请求次数限制,免攻击者通过同一个 IP 盗刷大量的企业短信验证码条数。

  创蓝253分控部门负责人认为:任何事情都需要一定的安全防控措施,企业可以根据业务的实际情况考虑,从以上的8个方法中选择并组合成最适合自身的最佳方案,防止短信接口被盗刷。并且提高技术人员在实际活动中的安全意识,提前防范风险。




关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
全国近3成人选择听书,你是其中之一么?
近日,中国新闻出版研究院发布第十六次全国国民阅读调查报告(下称《报告》)。《报告》指出, 2018年...
日期:05-14
手机码字哪家强?百度输入法语音识别速度第一
随着科技发展和快节奏生活的普及,人们的办公场所不再局限于办公室,还可以是上下班的地铁上,以及...
日期:05-05
新一代验证解决方案出现,创蓝万数闪验快速提升APP的注册登录体验
大家经常说登录注册功能的用户体验,可以直接看出一个产品的态度,很多大厂的APP依然会有登录注册卡...
日期:05-05
百年五四,重温青运,共青团中央发布五四特别纪念小游戏“建功搭搭搭”
百年五四,重温青运。5月4日,共青团中央携腾讯、《搭木板》研发团队,发布特别纪念小游戏“建功...
日期:05-04
高逼格相册软件,帮你轻松制作大神级相册视频
即将到来的五一小长假为期四天,腾讯相册管家借此丰富了自身的“故事”功能,为用户的愉快...
日期:04-30
湖南联通率先打响5G品牌第一枪 炫酷应用吸引万人抢先体验
中国联通合作伙伴大会的余热还未消退,湖南联通乘着风口再度把中国联通“5Gn”这一全新的...
日期:04-30
五一看花约起来! 百度地图将各地赏花攻略“一网打尽”
高山杜鹃正当红的黄山、千亩玫瑰竞相开的云南普黑、300余种“稀世之花”亮相的2019北京世...
日期:04-29
湖北移动区域联动 共筑骚扰电话防火墙
骚扰电话泛滥,侵害了消费者信息安全,扰乱了正常通讯秩序,国家多部门对此启动了综合整治骚扰电话...
日期:04-29
腾讯手机管家发布《2019年Q1安全报告》:木马病毒平均每天新增1.04万个
你的手机安全吗?骚扰电话、垃圾短信、木马病毒……总是让我们感觉危机四伏。近日,腾讯...
日期:04-26
在语玩,找到了陪我看《复联4》夜场首映的她
最近,朋友圈和微博掀起了一股“防剧透复联4”的热潮,为了获得最佳观影体验但是因为工作...
日期:04-25
活字格V5.0 隆重登场,助您打造更美观、更易用的专业级企业Web应用
日前,活字格 企业个性化低代码开发平台隆重推出了V5.0版本。为了帮助使用者快速打造更美观、更易用...
日期:04-23
直击上海车展 新浪新闻app热门话题零距离看车展
近日,上海车展在上海国家会展中心拉开帷幕。作为国内四大车展之一,两年一届的上海车展是各大车企...
日期:04-22
4月23日 | 《纳兹冒险记》“颖”你来战
纳兹冒险记-终局之战-颖你来战
  号外号外!大新闻!
  4月23日,香港资深艺人Theresa傅...
日期:04-22
App用户留存和制作开发一样重要
近日,知名市场研究机构Gartner发布最新数据,个人电脑、平板电脑和手机设备的全球出货量在 2019 年...
日期:04-19
金山文档赋能百度网盘 或将改变云存储格局
从PC时代到移动时代,互联网巨头企业已经逐步改变了人们的生活方式,相较而言,在办公方式上暂未发...
日期:04-19
百度App联合60余家媒体机构打造“汽车资讯矩阵”
全新的新能源概念车、奢华名车馆、首个5G展台,汇聚了来自20个国家1000多家车企的2019上海车展在4月...
日期:04-17
魅族16s预热来了?魅族官网上架“史上最贵”HIFI 解码耳放
4月12日消息,魅族官方商城上架了一款名为“魅族HIFI 解码耳放”的新产品,虚拟价格显示&...
日期:04-12
3988元起华为P30系列国行登场 多面强过iPhone?
4 月 12 日消息 昨天,华为在上海召开 2019 华为春季新品发布会,在本次发布会上正式推出了华为 P30...
日期:04-12
内外兼修 剖析迅雷链中的密码学和隐私保护技术
对于很多想用区块链解决业务发展瓶颈的企业来说,不是具备了All in区块链的态度,就可以万事俱备,...
日期:04-12
SUGAR携 5G 毫米波随身WiFi,成就时代前行者
2019 年最受期待的就是 5G 网络时代的到来。根据计划,我国将于 2019 年启动 5G 网络建设,并于 202...
日期:04-11