问题对人有帮助，内容完整，我也想知道答案
问题没有实际价值，缺少关键内容，没有改进余地
注册接口，通过手机验证，发验证码到手机
被人恶意攻击，随意提交手机号，消耗短信费用，
提交的表单，ip，手机号都随机，
验证码已经失效（验证码信息服务器存session），
cookie限制不行，ip又是随机，怎么办
就算升级验证码，被破解是迟早的事
还有什么方案？
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
js获取光标坐标并传进后端，后端处理这些坐标是否在注册按钮的坐标区中，不知道这样可不可以
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
简单有效的方案就是发送前再加一个图片验证码，防止机器提交。
分享到微博？
关闭理由：
删除理由：
忽略理由：
推广（招聘、广告、SEO 等）方面的内容
与已有问题重复（请编辑该提问指向已有相同问题）
答非所问，不符合答题要求
宜作评论而非答案
带有人身攻击、辱骂、仇恨等违反条款的内容
无法获得确切结果的问题
非开发直接相关的问题
非技术提问的讨论型问题
其他原因（请补充说明）
我要该，理由是：
在 SegmentFault，解决技术问题
每个月，我们帮助 1000 万的开发者解决各种各样的技术问题。并助力他们在技术能力、职业生涯、影响力上获得提升。
一线的工程师、著名开源项目的作者们，都在这里：
获取验证码
已有账号？如何解决短信验证码接口被攻击的问题？_百度知道
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。
如何解决短信验证码接口被攻击的问题？
广东第五大道到达率怎么样
我有更好的答案
可以考虑结合语音验证码使用，现在网站用的就是广东第五大道的
采纳率：81%
第一步输入用户名，第二步发送短信验证码，可以考虑将手机号码加入黑名单，禁止1天，用户设置用户名和密码发送到后台。2，用Token作为唯一性识别标识，短信验证码有效期内，时间未到不能发送短信。3、IP地址限制，第一步一个页面用来设置用户名和密码。通常设置为60-120秒，前端做倒计时限制、短信发送时间间隔限制：限制同一个手机号码重复发送的时间间隔。8，发送相同的短信验证码。比如设置30分钟有效，时间未到不能点击发送短信按钮，后台也做时间间隔限制：将流程分成两个步骤，这个短信验证码就不能使用了，前端可以获取到Token，请求发送短信验证码接口时带上Token，后台接收到Token进行验证。6：限制每个IP地址每天的最大发送次数、增加图片验证码。7。如：防止修改参数伪造多个IP地址和手机号码进行恶意攻击、发送短信验证码。防止通过同一个IP地址不同手机号码进行恶意攻击。超过次数不能发送短信，可以考虑将IP地址加入黑名单。图片验证码失效可以防止图片验证码识别软件尝试多次识别，可以考虑复杂的图片验证码或点触验证、滑动验证，验证未通过不能发送短信，禁止1天。可以考虑限制同一个IP地址每分钟的接口请求频率。4、发送流程限制、对发送者进行唯一性识别。5。忘记密码，找回密码：注册用户，将发送短信验证码和设置用户名密码分成两个步骤。如果输入错误更新图片验证码，获取到后台返回的第一步成功回执之后，进入第二步另一个页面发送手机短信验证码防止恶意攻击短信验证码接口方法1，第二次发送的验证码和第一次相同。10、上行短信验证码：对于可疑用户要求其主动发短信：发送短信验证码时，要求输入图片验证码，每个图片验证码仅能使用1次，使用1次后，不管输入的图片验证码是否正确自动失效。防止猜测短信验证码恶意注册，短信发送时间间隔限制为60秒，第一次发送之后，60秒倒计时结束、短信验证码可以考虑数字和字母组合。9、短信验证码输入错误次数限制，比如设置短信验证码输入错误3次后，点击按钮第二次发送，后台将Token注入到前端、手机号码限制：限制单个手机号码每天的最大发送次数。超过次数不能发送短信
本回答被网友采纳
为您推荐：
其他类似问题
您可能关注的内容
换一换
回答问题，赢新手礼包相关文章推荐
进来由于项目需要，调用了第三方的We
短信API设计
关键词：短信轰炸机
短信接口验证码是网站、App校验用户手机号码真实性的首要途径，在为网站及APP提供便利的同时，手机短信验证功能也会被部分用户和短信轰炸机进行恶意利用。如何才能防止被恶意点击呢...
短信接口验证码通常用于电商、手机APP、网上银行、社交论坛等互联网行业，通过短信验证码进行身份二次验证，确保用户身份真实有效。但是，最近有很多用户莫名收到各类注册短信、验证短信等，技术人员排查，发现是...
昨天突然收到短信服务提供商报警，说我们的短信接口遭受攻击，收到大量短信验证码通知。登录后台管理服务，发现确实收到攻击，正常一天的发送量不会超过100条，但昨天已经突破三千，并且还在上涨；登录服务器日志...
本文章短信平台接口基于中国网建SMS短信平台API，相关网址为点我打开--->中国网建SMS短信平台。注册后即可立即使用，无信息审核验证延迟。
通过中国网建第三方API发送一条短信，需要知道以...
验证码短信专用接口指的是针对网站、APP会员注册验证、订单通知、帐户变更提醒等应用开设的短信接口，该接口需要满足:发送速度快（3-5秒响应）、运行稳定（全年全天24小时发送）、全网发送（移动联通电信三...
一、什么是短信轰炸（短信接口被刷）
短信轰炸一般基于 WEB 方式(基于客户端方式的原理与之类...
短信轰炸机原理
短信轰炸机的工作原理是：首先收集网络上的验证码应用，并筛选易于攻击的部分，然后编程模拟人工填写手机号码并获取验证码，最后验证码短信通过运营商的短信通道发送到受骚扰者的手机上，导致受骚扰...
网站建设中，使用手机短信验证码可以有效防止无效用户的注册，验证用户身份真实性，提高网站会员质量和信息安全性。与此同时，如果网站中没有做好短信炸弹的防范，容易被短信炸弹恶意访问，不停发送验证码短信， 造...
他的最新文章
他的热门文章
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)男子遭恶意短信“轰炸” 连收50余条验证码_网易新闻
男子遭恶意短信“轰炸” 连收50余条验证码
用微信扫码二维码
分享至好友和朋友圈
（原标题：遭验证短信“轰炸” 谁在捣鬼？）
短短一会儿工夫连收50余条短信，条条涉及“验证码”，这是怎么了？昨日，数位市民反映，在其没有登录网站操作的情况下，自己的手机接连收到莫名短信，甚至有人的手机震动到发烫。记者上网搜索并咨询有关手机安全专家获悉，原来或因为有人使用“短信轰炸”软件，聚合一些正规网站的服务端口向机主发送大量注册信息。专业人士建议，倘若遭遇短信轰炸骚扰，目前最行之有效的方法是机主通过下载专业安全软件，开启陌生人拦截或设置关键词库对其进行过滤拦截。奇怪：连收50余条短信条条涉及验证码“太可怕了，什么情况？接连收到这短信。”昨日，市民文先生告诉记者，周五下午5时许，他的手机突然弹出来一条“”发送来的短信，内容为“尊敬的用户，你的短信验证码为……”想着自己并没有登录相关网站，文先生开始没有太在意，谁知随后的几分钟里，“”每隔一分钟，一连发了五条验证码短信。文先生称，最初他也有怀疑过是不是遭遇了别人的短信轰炸报复，但六条验证码短信从数量上看也不太像是轰炸。“上网购物都是默认给店家好评，坐专车也都是给司机满分”，仔细回想了一番，他觉得基本不存在被报复的可能。他尝试拨打10086咨询却未能联系上客服，只好上网搜索寻求答案。“估计有人登录网站时输错了手机号，结果验证码短信误发到别人的手机上了。”尽管如此分析，文先生还是觉得心里有些不安。昨日，数位街坊反映其有着类似的遭遇，但比文先生的经历还要“夸张”。街坊陈先生说，近日他在很短的时间内一连收到大约50条验证码短信，有联通、知名网购平台、各大钱包、航空公司以及与支付相关的平台。吓得他赶紧解绑了支付宝和微信绑定的银行卡。记者在其手机截图上看到，从12时02分至12时06分，他连收5条短信，短信内容包括“946543（登录随机码），感谢您使用网上营业厅”、“您的注册验证码为884649【三分钟有效】”……无独有偶，市民黎小姐也称她和朋友一下午突然各自收到50多条验证码短信。“分别是在几个时间段，密集发送，手机不停震动，震到发烫”。黎小姐说，验证码所指向的网站当天她都没有登录过。“我和朋友分析，我俩的共同点就是给专车司机打了三星和四星，是不是因为没给满分好评而被对方短信轰炸报复了？”无奈之下，她只好将手机搁在一旁等对方消停，好在当天傍晚恢复了正常。调查：有软件号称“每分钟可发三五百条短信”昨日，记者在网上搜索“短信轰炸”关键词发现，网络上确实有大量的“短信轰炸”软件，包括网页版和手机版，只要输入手机号码，就会在短时间内对该手机号码发送各种网站的注册验证信息。以其中一款网页版短信轰炸软件为例，在“轰炸控制台”中输入需要轰炸的号码，点击“启动轰炸线程”，当关闭或刷新页面即可停止轰炸。针对轰炸后实际收到的短信很少这一问题，该款软件解释称“短信发送接口、运营商等因素可能会导致信息延迟或没有发送成功。”对于被轰炸受害者如何解决“骚扰”问题，该软件则称“解决不了，只能建议机主关机”。同时，该款软件在其网页上还做了一个法律声明，称“当您提交手机号码后, 程序会自动生成一段HTML代码并且由您的浏览器执行, 代码的生成与我们有关, 执行的过程及后果与您有关。换个角度来讲, 我们只是在制造枪给你用, 至于你怎么用这把枪是你的事情。本站不承担因您使用本网站所提供的功能造成间接或直接的损失。”记者留意到，有很多网友在该页面留言，表示自己用这套软件“轰炸”骗过自己的人、情敌、差评客户、欠钱不还的人等。据了解，除了免费试用版本外，网络上还有付费制的短信轰炸软件，售价为50元，号称永久免费包更新，不绑定电脑，威力是网页版的近十倍。一款短信轰炸软件则声称，其软件轰炸速度极快，“每分钟可达三到五百条短信。操作简单，输入对方的手机号即可让对方手机瞬间崩溃……”专家： 遭遇短信“轰炸”可开启陌生人拦截昨日，记者致电10086，客服工作人员表示，在机主未登录网上营业厅的情况下收到验证码短信，不要回复该信息，可将该短信发送方号码拉入黑名单，“有可能对方利用伪基站诈骗，也不排除有人误操作输错了手机号。如果信息中包含优惠活动等信息，可拨打10086先进行核实。”腾讯手机管家安全专家陆兆华表示，目前很多网站都需要顾客用手机号进行用户注册，为确定为机主本人操作，网站会向该手机号发送验证码。而上述短信轰炸软件正是利用了这一点，将所有这些网站注册的端口对接起来，只要输入手机号码，就会自动向这些网站发送注册请求，短时间内机主就会收到很多验证码信息。“这种方式与伪基站的验证码攻击不是一回事。”陆兆华分析，机主短时间内突然收到正常网站发来的验证码信息，被盗的可能性较小，被个别人点对点攻击发泄情绪的可能性较大。“这种软件借用别人的通道，并将其聚合在一起，算是一种流氓软件，手机管家会将其视为病毒软件进行查杀。”陆兆华建议广大机主，安装专业安全软件，及时查杀手机病毒。手机管家会主动拦截具有群发性质的诈骗、骚扰或广告短信。被攻击者可以通过手机管家开启陌生人拦截，将这些端口发送的验证码信息全部屏蔽掉。
律师：“短信轰炸”违法 但难寻骚扰者“利用这种软件攻击别人是违法行为，有可能面临法律的处罚。”广东正大联合律师事务所许瀚律师表示，根据《中华人民共和国治安管理处罚法》第四十二条规定，多次发送淫秽、侮辱、恐吓或者其他信息，干扰他人正常生活的，处五日以下拘留或者五百元以下罚款；情节较重的，处五日以上十日以下拘留，可以并处五百元以下罚款。许律师坦言，如果被他人用短信轰炸软件攻击骚扰，被骚扰者可以选择报警或者到法院起诉。但需要注意的是，面对这类短信骚扰，由于对方利用的端口非常多变，被骚扰者可能根本不知道该告谁。他认为，目前最行之有效的方法是市民通过下载专业安全软件，设置如“验证码”等关键词库对这类攻击骚扰进行过滤拦截。
本文来源：大洋网-广州日报
责任编辑：雷晶_BJS2754
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈有人不断的捅我们的短信接口，该怎么办 - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
已注册用户请 &
有人不断的捅我们的短信接口，该怎么办
11:15:24 +08:00 · 8510 次点击
前几天我们产品做了一次投票活动，为了防止刷票做了短信验证的限制。然后发现有人在我们这边发广告说可以代刷票，被我们干掉了，刷的票也直接减掉了。
可能断了刷票方的财路，现在刷票方不断的在捅我们的短信接口不断的消耗我们的短信，基本一分钟干掉上百条。请问大家有这种经验么，该怎么处理。
我们做了单 IP 不能获取超过 4 个验证码的限制，可是刷票方都是不同的 ip 不同手机号，完全不知道哪来的这么庞大的库。也有图形验证码限制。
第 1 条附言 &·&
16:28:00 +08:00
更新一下，目前在获取短信的步骤前置了图形验证码验证，现在是好了。需要再观察一下看他们是否会破解图形验证码
29 回复 &| &直到
16:29:54 +08:00
& & 11:22:48 +08:00
你这个问题，我们前几个月碰到过，后来在每个获取短信的页面前增加了页面输入验证码功能，避免了机器直接访问的请求
& & 11:25:48 +08:00
一个粗略的思路：改成投票者发短信你们接收，实现方便的话可以搞
& & 11:27:34 +08:00
@ 这方法就是做大死
& & 11:30:50 +08:00
@ 感谢 我们现在试一下
& & 11:31:28 +08:00
@ 这不就是 apple 么
& & 11:32:41 +08:00
给你推荐两个内容，一个是移动的《防短信炸弹参考》，一个是我之前写的一点代码
图形验证码如果是比较简单的，应该花点时间就破掉了，最近看到那种“滑动”的验证码，不知道有没有帮助
& & 11:33:55 +08:00
@ 不是大厂的话，这么搞药丸。
& & 11:35:08 +08:00
@ 感谢，我来研究一下
& & 11:37:21 +08:00
胖，最好的做法是改游戏规则。
& & 11:37:51 +08:00
@ 你想表达啥……
& & 11:45:21 +08:00
最常见的滑动验证码是极验，你拿 SDK 集成进去就好。
& & 11:46:03 +08:00
验证码。。。。
& & 11:48:40 +08:00
希望楼主继续更新！告诉后续情况。
& & 11:49:32 +08:00
@ 好的 等我改完先
& & 11:53:20 +08:00 via Android
滑动验证更好破解啊，包括图片分类的验证也是很简单就可以破解。
& & 12:04:56 +08:00
1 、你们可以收集一个代理 IP 库
2 、例如：输入验证的时间，低于一秒。等类似的机器人判断
& & 12:12:06 +08:00
& & 12:24:19 +08:00
建议试试 SUBMAIL ， submail 每个短信 APPID 都可以绑定自定义绑定 IP 地址， API 有主动防御机制，也就是当屏蔽非常高的验证码被刷屏之后，会触发 API 对被攻击的 APPID 请求的验证码号码进行过滤，安全级别 1-10 ， API 会自动根据刷码攻击的级别对验证码模板进行安全级别设定。
主动防御机制激活后，验证码模板会对请求的号码通过频率、次数、时间进行判断，判定为为恶意刷码的号码主动加入临时黑名单，短信不会发出去，也不会造成计费。
& & 12:30:44 +08:00
SUBMAIL 还有语音验证码，可以配合短信验证码做防刷码机制
& & 12:34:00 +08:00
明显是验证码被破解了，弄个多位数复杂点验证码。
& & 12:44:54 +08:00
一些短信运营商肯定会让你加图片验证码做二次验证，但。。图片验证码根本不启作用，反而降低用户体验
& & 13:01:34 +08:00 via iPhone
@ Apple 也沒有這樣做呀，至少我沒遇到過。騰訊倒是有時候需要發短信過去
& & 14:12:41 +08:00
@ iPhone 每天到店预约提货，就是这样的
& & 14:14:15 +08:00
加一句&最终解释权归主办方所有,主办方有权取消数据异常用户的参赛资格&
然后随心所欲的减票就行了
& & 16:54:19 +08:00
绝大多数写的验证 IP 的都是有问题的，比如不能检测伪造 http 请求里面 ip 相关字段
& & 17:53:18 +08:00
楼主，问一下你现在的状况如何，另外用的是哪个验证码 SDK?
& & 21:37:35 +08:00
通常一般加验证码，和 ip 限制，实在不行加变态验证码（可以考虑急速验证类似的），给识别难度添加大。
& &268 天前
lz 可参考篇文章：短信验证码接口被恶意攻击怎么办?/html/xyxw/2709.html ，能够杜绝 95%的攻击情况。
& &239 天前
我之前也遇到过这种现象，当时用的是 SUBMAIL 赛邮的短信通道，被刷了 10000 多，其实吧，我们自己 ip 限制和图形验证码都没加。好在找了 SUBMAIL 都补偿了。
& · & 2460 人在线 & 最高记录 3541 & · &
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.0 · 67ms · UTC 10:04 · PVG 18:04 · LAX 02:04 · JFK 05:04? Do have faith in what you're doing.