如何防止簡訊API介面遍歷

簡訊api介面在web中得到越來越多的應用，如使用者註冊，登入，密碼重置等業務模組都會使用手機驗證碼進行身份驗證。一般情況下，我們會採用這樣的安全策略，將簡訊傳送頻率限制在正常的業務流控範圍內，比如，乙個手機號一天最多下發10條簡訊，同時限制時效，驗證次數。但這樣的策略，攻擊者通過遍歷手機號，還是阻止不了簡訊資源被消耗的情況。

如何防止簡訊api介面遍歷呢？

在平時瀏覽**的時候，我會稍微留意一些**是怎麼做的，並記錄了一些簡訊api介面防遍歷的技術實現方式。

第一種方式：白名單

這是最簡單的一種方式，但應用場景有限，比如，在一些內部應用系統（從hr系統或其他系統同步手機號過來驗證），此時，只需要驗證是否為內部員工手機號，如不是，直接提示非內部員工手機號；如是，再執行簡訊api流控策略。

使用者點選獲取簡訊驗證碼的時候，彈出圖形驗證碼進行驗證，同時傳送圖形驗證碼和手機號碼到後台驗證。

當然，這種方式使用者體驗極差，每次都需要手動需要驗證碼才能傳送手機驗證碼，於是，有了進一步的優化方案，從使用者體驗和安全角度出發，可設計為當使用者輸入3次錯誤手機驗證碼後自動彈出驗證碼。

還有另外一種方式，採用當下比較流行的滑塊驗證或點選驗證方式，使用者體驗也會有所改善。

前端與後台協商好加密方式，比如md5(timestamp+telphone+salt)，前台發起請求時，同時傳送 timestamp、telephone、sign引數，後台接收這些引數，按照協商好的加密方式生成乙個校驗值與sign進行對比，如果錯誤，則不處理。另外，js**混淆+簡訊api業務流控限制。

風險點：雖然做了**混淆，但js加密演算法一旦洩漏，並不是一種安全的措施，但也是一種比較容易實現的技術方案。

客戶端ajax**實現：

var timestamp = (new
date).gettime();
var sign = md5(timestamp+telephone+"
qwertyuiopasdfghjkl");
ajax.post(,
...........

以上，是三種常見的預防簡訊api介面遍歷的技術實現方案。

我建立了乙個免費的知識星球，主要用於技術問題**。我將這個問題發表在知識星球，得到了不少星友的熱情回應，以下摘錄一些星友們的看法。

@超人：限制ip有可能誤傷同一區域網下的使用者，最好是登陸後允許傳送，限制使用者的傳送次數

@密因：同一手機號，60秒內不能重**送，24小時內總共傳送不超過5次；2個及以上手機號，通過識別客戶端特徵，出口ip，隨機字串，判定是否為同一使用者，對同一使用者使用限制措施。或者設定略高於平常請求數的基線，如日常1分鐘100個簡訊請求，基線設定為150，1分鐘內超過150次之外的請求丟棄。

@antares：限制每個ip、帳號每天的請求頻率和數量，對請求引數做簽名校驗，防止請求重放

@adler：在獲取驗證碼前加驗證，然後黑名單遮蔽虛擬號，限制每個ip一定時間內的請求數和限制每個手機號請求的總次數。

@yd：一般都是限制ip在時間段內請求次數，限制同一手機號傳送次數，加圖形或滑動等驗證碼。

@mr.周：設定請求上線遮蔽虛擬號碼段。

@ch4ce：我們限制了ip位址，雖然這樣不是最好的解決方案。

@loki⚡：我個人感覺，首先確保傳送簡訊驗證碼的邏輯是正確的，然後可以根據業務的重要程度決定是用安全產品，還是自己開發人機識別功能。

1024：人機驗證，裝置號，帆布指紋， ip。

corp0ra1：如果可以的話，匹配使用者名稱?

掉到魚缸裡的貓：限制同ip請求次數。

zxt：每個使用者一天或者乙個小時只允許三個驗證碼，同ip每天只允許三個使用者獲取驗證碼。這種模式比較常用。

這是乙個免費的星球，誠邀你的加入!

如何防止簡訊API介面遍歷

如何防止簡訊介面被刷？

簡訊介面api傳送 kewail

防止惡意呼叫API介面

如何防止簡訊API介面遍歷

如何防止簡訊介面被刷？

簡訊介面api傳送 kewail

防止惡意呼叫API介面

相關推薦