【网络攻击】之防止短信验证码接口被攻击 - 古越剑箫 - 博客园
现在的登录一般都采用手机号+验证码进行注册，登录。
容易被攻击的接口：注册时用户输入号码就可直接触发短信！最容易被短信轰炸机利用，只要网站被搜索引擎收录，短信轰炸机就很容易检索到注册页面。的
防止攻击的集中常见做法，
1、请求短信验证码接口的时候加上图形验证码，只有正确输入图形验证码，才发送请求，这是现在互联网公司最常用的做法
2、流程验证，用户在注册完毕获得用户名和密码之后，才请求短信验证码接口，这个不常用
3、要求录入一大堆注册数据，然后才请求短信验证码接口，这种在PC端好用，移动端不建议这样使用
4、服务器设置同一个号码连续请求的时间间隔，比如120秒种发一次
5、IP，移动设备名，进行限制，一个ip或者设备一天只能请求多少次
6、限制同一个手机号每天请求的次数
一般最常用的方法是1+6,这样基本可以解决恶意访问短信接口的问题！如何防止短信验证码接口被攻击或者被盗？如何防止短信验证码接口被攻击或者被盗？会员专家百家号现在短信验证码的应用范围越来越广泛，想必很多企业也都通过各种方式设置了短信验证码。企业使用短信验证码，除了要考虑通道的稳定性、设置短信验证码轰炸机防刷机制外，还需要考虑短信验证码接口账户被盗等问题，假设对方获取了我们的账号，借用我们的账号大量发送验证码，也会产生不少损失。如何有效方式短信验证码账户被盗呢？1：绑定ip地址很多短信平台为了避免出现意外，一般都会绑定自己的服务器ip地址，如果有攻击或者修改，就会接收到短信或者邮件通知，这就需要注意一下了。2、绑定手机号短信验证码平台可以对每一个用户的信息有所了解，从而可以知道每条短信发送的具体情况，比如是发送给哪个号码的，是否发送成功。而为了保证发送数据的安全，企业在使用短信验证码平台应有专人操作，绑定固定手机号，也就是说企业想要发送信息的话，自己在登录平台的时候，必须要先验证成功手机，才可以登录，加大数据防范力度。当然说，一般的短信验证码还都是很安全的，现在很多企业都与阅信短信验证码平台合作，没有用户提出过安全性问题，公司有自己的研发团队和实力技术，现在不仅可以选择短信验证码，语音验证码等服务也是可以定制的。本文由百家号作者上传并发布，百家号仅提供信息发布平台。文章仅代表作者个人观点，不代表百度立场。未经作者许可，不得转载。会员专家百家号最近更新：简介:信息/数字评估。作者最新文章相关文章短信验证码真的安全吗？你必须知道几种泄露途径并加以提防
我的图书馆
短信验证码真的安全吗？你必须知道几种泄露途径并加以提防
这篇文章写了又删，主题太大，能写的太多，但看见这个案例及下边的回答我决定从整体角度好好写写。情况是这样的：昨天（3月10日）晚 11 点半左右，我的手机忽然收到一大堆包含手机验证码的短信，包括财付通、当当网、天翼视讯、无线城市等。当时以为中了谁的「呼死你」，觉得只要先关闭短信铃声，可以明天再想办法。谁知接下来的事就让人坐立不安了：手机上接连收到了招行快捷支付的消息，每笔间隔一两分钟，金额都是 195 元，我连忙在电脑上打开网银，发现自己的银行卡竟然真的出现了这些交易记录。于是我拨打了 95555 询问招行，招行的说法是这些交易都来自财付通的快捷支付，具体到底是微信还是 QQ 只能去问腾讯，他们只能冻结银行卡避免更大损失。于是我打电话给腾讯，结果夜间人工客服都歇了，直到今天早上才拨通。腾讯的说法是这笔消费通过京东购买了游戏点卡，给了我订单号，让我先联系京东，他们再跟进处理。当我联系京东之后，对方查到了消费记录，但说法是虚拟商品一经购买就无法退回，要求我先报警。而通过 110 转接到派出所之后，民警建议我先不要申请立案，否则商家和银行就不愿处理了，应该直接通过银行追回损失，必要时可以起诉。总结起来就是招行卡被人绑定了腾讯的快捷支付通过京东购买了商品，每一家都把责任推给下一家，最后民警又推回了银行。（from: 银行卡被人开通了快捷支付并被盗刷应当如何追回损失？）值得一说的是这个资金转移流程跟洗钱很相似：短信验证码是怎么泄漏的没法下结论，我整体的讲一下所有真实攻击中一些 Hack 短信验证码手段的技术细节。九个层面发送验证码的应用这个层面不是劫持，而是绕过短信验证码的检测机制达到攻击目的。应用验证出的漏洞比较多，包括微信、微博、QQ，但由于利用起来动作比较大漏洞容易掉，所以这个层面的漏洞真正用来利用的比较少。一般验证流程：生成验证码 -& 保存到 session -& 发送验证码 -& 用户提交 -& 把提交的与 session 中的比对每一步理解不透彻都会带来问题存在其它漏洞导致 session 中的数据可被读写厦门航空一系列安全漏洞打包广发证券的一些漏洞打包发送后将验证码返回给了客户端新浪某站任意用户密码修改（验证码与取回逻辑设计不当）第三方支付平台支付通爆严重漏洞,短信验证码直接隐藏在页面对用户提交没有限制导致可暴力猜测验证码微信任意用户密码修改漏洞聚美优品#2重置任意用户密码验证码没有跟账户绑定导致任意验证码都可通过验证OPPO修改任意帐号密码OPPO手机重置任意账户密码（3）推送验证码的云服务商云时代，你手机收到的 APP 的短信大多都是通过短信推送平台发出的，那也就不可避免的带来了「第三方安全风险」，黑客只要把平台拿下，流过的短信都能看到，算是一个比较薄弱的环节。酷讯网短信发送系统弱口令(一千多万已发送记录包含用户密码)建周短信平台某数据库未授权访问（大量用户电话/短信内容泄露）能看到短信能干嘛？扩大渗透战果UCloud设计不当导致防火墙被绕过+第三方问题移动运营商国内三大运营商对短信、通讯记录读取这些隐私接口管理得还是很混乱，所以黑客可能不经意黑下一套系统上面可能就有这些接口。或是一些混乱的「新业务」的漏洞导致短信可以被截取。这个层面的漏洞有「上行」和「下行」之分，有些漏洞能看到你发出的短信，有的能拦截你收到的短信。案例并不少，有些还是今年的：中国移动中国移动某平台存在弱口令（泄漏用户上行短信内容与用户姓名）某漏洞可导致任意登录中国移动他人139邮箱中国移动通行证平台重大漏洞 (可登陆任何手机邮箱，彩云等)中国联通中国联通某系统存高危漏洞可致相关信息记录\LBS\社会等信息泄露风险中国联通某业务getshell可泄漏大量用户服务密码，可查通话、短信、上网等记录从一个漏洞到再次沦陷中国联通企业信息服务平台(含32个省)中国电信中国电信某短信平台存在shell（N万短信随便你轰炸）某省电信短信发送web service无权限验证，可发任意电信用户任意短信内容中国电信天翼短信助理泄漏大量用户短信（如机票、火车票出票信息泄露）蜂窝网络主要是伪基站和 GSM 嗅探了，需要提的一点是，很多人觉得自己不是用的 GSM 网络就不会被攻击了，如果你的 3G 信号被屏蔽了呢？伪基站伪基站 + 钓鱼 = 完美黑产 - 乌云君探秘伪基站产业链京信通信HNB-10,A01L型Femto基站各种权限控制问题，可被用作伪基站群发垃圾短信等非法用途GSM 嗅探GSM Hackeing 之 SMS Sniffer 学习GSM HACK的另一种方法:RTL-SDR手机 AppApp 之间有时候也是需要相互通信的，需要通信就需要协议，这个协议在开发者使用的时候也经常会带来安全问题。拦截短信：LBE任意号码拦截漏洞（可使恶意软件绕过短信权限控制）安全管家客户端任意号码拦截漏洞（可使恶意软件绕过短信权限控制）手机木马这个点太大，主要集中在 Android，iOS 虽然也有一些可以利用的漏洞，但性价比太低，所以被用来赚钱的并不多，我说下我所了解的一些植入方式：连接了公共的 WIFI 被植入不用多说，危害有多大都被说烂，走路上突然连上 WIFI 也是常有的事。想自己试试可以用自己用手机开个热点，把信号名设置为「CMCC」，找个人多的地方安静的坐着就好了。噢，对了，不要设密码，然后，小心流量。（深入了解看这：无线应用安全剖析）你的Wi-Fi出轨了你造么？- 乌云君公共无线安全——FakeAP之WiFi钓鱼使用WiFi真的有那么危险吗？USB 插入了被感染过的机器新病毒可顺着USB数据线钻到Android手机里勿随便开启USB调试！新PC病毒可感染安卓WebView 远程命令执行搜狗输入法远程代码执行可以恶意利用劫持用户输入UC浏览器HD版本远程代码执行漏洞微信android客户端最新版远程代码执行(可远程种植后门控制用户)下载过被植入木马的 APKAPP 渠道被入侵用一个低级的漏洞向豌豆荚用户手机后台静默推送并安装任意应用用另一个低级的漏洞向豌豆荚用户手机后台静默推送并安装任意应用令人堪忧的app工厂安全（一个弱口令影响整体安全）APP 被入侵导致被强制推送木马中国电信某省智慧城市多个漏洞已shell（可全省推送信息）中国电信官网(www.189.cn)钓鱼挂马以及电信营业厅安卓客户端定向\集体推送更新(绑马)等高危漏洞合集手机厂商自带后门酷派官方静默安装apk功能后台存在高危漏洞(演示定制机是如何在你的手机默默安装)通过二维码、短信、色情诱导等方式散播的恶意 APKXXshenqi.apk，很多时候我都觉得离漏洞越远的攻击方式越有生命力。Android敲诈病毒分析探秘短信马产业链手机云同步短信现在很多手机都是自带「云」的，同步短信是一个很常规的功能。小米云用户库泄漏各种照片流出也说明了云同步的问题。当然，通过这个方式劫持有个前提条件就是同步应用的频率比较高。攻击方式除了渗透还有「XSS 定向攻击」：OPPO手机同步密码随意修改，短信通讯录随意查看通过小米账户XSS窃取超私密资料，危害严重Gozap某处未授权访问（泄漏上亿条蜡笔同步用户短信、照片等记录）手机卡被非法补办这种手段要实践起来成本比较大，不一定能成功，大家看看下面这两个白帽子的真事案例，这种攻击方式是真实存在的。这个是线上的，4G 用户可以申请 4 张：移动手机卡补办就是这么简单（换卡服务存在缺陷会导致黑产利用）这个是线下的，之前发出来争议一直很大：移动「4G」卡所带来的威胁 - 乌云君手机丢失想像一下，如果你现在手机丢了，你会损失什么？这个主题有白帽讨论过，主要是对手机 App 的账户体系的质疑，不只是短信验证码，如支付宝的小额不需要验证就可以支付，大家可以看看：如果你手机丢了，你觉得会损失了什么？『可能你觉得手机本身的价值没什么，通讯录才是重要的。在偶年幼无知的时候 …… 觉得手机丢了，QQ也会丢了。但是，还是在偶年幼无知的时候，发现 …… 手机丢了，也许会欲哭无泪！想像一下，如果你现在手机丢了，你会损失什么？』 最后总结一下就是不要相信100%的短信验证码安全，需要我们平时注意去甄别与应对这些陷阱或是盗取。
[转]&[转]&[转]&[转]&[转]&[转]&
喜欢该文的人也喜欢如何防止短信验证码接口被恶意攻击 - 简书
如何防止短信验证码接口被恶意攻击
短信接口验证码是网站、App校验用户手机号码真实性的首要途径，在为网站及APP提供便利的同时，手机短信验证功能也会被部分用户和短信轰炸机进行恶意利用。如何才能防止被恶意点击呢？
容易被攻击的接口：注册时用户输入号码就可直接触发短信！最容易被短信轰炸机利用，只要网站被搜索引擎收录，短信轰炸机就很容易检索到注册页面。
推荐的以下几种对接方式：
1.【绑定图型校验码】——将图形校验码和手机验证码进行绑定，当用户输入手机号码以后，需要输入图形校验码才可以触发短信，这样能比较有效的防止软件恶意点击。现在大型网站都采用此方式。
2.【流程限定】——将手机短信验证和用户名注册分成两个步骤，用户在注册成功用户名密码后，下一步才进行手机短信验证。
3.【触发条件】——用户必须填写好所有注册信息才可进行触发，注册资料不完整无法发送验证码。
附加对接设置：
4.【短信发送间隔设置】——设置同一号码重复发送的时间间隔，一般设置为60-120秒；
5.【IP限定】——设置每个IP每天的最大发送量；
6.【发送量限定】——设置每个手机号码每天的最大发送量；
推荐的是第1、2、3结合456的方法进行对接接口。以免短信造成不必要的浪费！
热爱生活，热爱学习，热爱代码。
最近遇到一个关于防止短信验证码被刷的产品设计问题，后来在面试一个前来应聘JAVA开发的程序员的时候，他也提到了他以前公司的系统也遭遇过这个被刷短信的问题。因此，就“如何设计短信验证码防刷机制”作一个总结和分享。 现在，大部分的产品都会涉使用到短信验证码的接口，特别是移动产品...
前言 现在市面上有多种验证码类型，例如图形验证码、滑动验证码、语音验证码、智力答题验证码等类型，短信验证码因其操作性简单，时效性强，安全性高，成本低等优点，短信验证码几乎成为了所有移动产品的标配。因此对短信验证码的机制进行分析，通过了解不同的短信验证码机制，我们可以更好地针...
《系统界面指引规范》是目前工作中的一个内部规范文本，目的在于规范自己部门所负责的一些系统功能界面的指引性交互设计。个人负责了其中的部分工作，也执笔撰写了部分内容，算是今年笔耕的一点成果。这篇文字节选自《指引》的第七部分，名曰“交互式验证”，实则聚焦于日常用的最多的信息验证—...
短信接口验证码是网站、App校验用户手机号码真实性的首要途径，在为网站及APP提供便利的同时，手机短信验证功能也会被部分用户和短信轰炸机进行恶意利用。如何才能防止被恶意点击呢？容易被攻击的接口：注册时用户输入号码就可直接触发短信！最容易被短信轰炸机利用，只要网站被搜索引擎收...
国家电网公司企业标准（Q/GDW）- 面向对象的用电信息数据交换协议 - 报批稿： 前言： 排版 by Dr_Ting公众号：庭说移步 tingtalk.me 获得更友好的阅读体验 Q/GDW XXXX-201X《面向对象的用电信息数据交换协议》是根据《国家...
又是下雨天，她狼狈不堪地奔走在雨中，突如其来的雨让人好好的心情跌到谷底，白色的棉布裙几乎被完全打湿，遮在头顶的书包非但不管用还在往头上滴水。虽然心里暗自咒骂，木槿还是硬着头皮往前，天知道雨会不会越来越大。 高三那年，木槿谈了一场轰轰烈烈的恋爱，毕业时全校皆知她的大名。...
《埋葬》 我想不明白 小虫子怎样钻进灯罩 集聚了黑色的一层尸体 难道是它们跪在灯外 夜夜向灯心祈祷、忏悔 请光埋葬它们
十里春风，正悄悄新绿江南。踏客归途，炊烟袅袅冬雪别。欲向南方，不悦人生经此地。有牵有念，伊人红妆驻此城。冬雪朵朵嗜此好，人生短短忆曾经。百花秋月妒红颜，独醉千夜渡尘劫。苦（她）一人，亦是苦天下。负（她）一人，亦若负苍生。___望月亦是望情。昨日独望月，月懂我那时。明月会复在...
是什么让别人成为了比你厉害的人？ 同一件事，为什么你做了20年，还不如别人做4年取得的结果更大？做短信注册验证如何防止别人恶意调用接口？？【程序员吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：120,687贴子：
做短信注册验证如何防止别人恶意调用接口？？收藏
目前在做一个功能，是短信注册的，传递手机号码和一个设备ID进去就可以注册，通过调用接口的方法，但是今天组长突然找我说，你有什么方法防止别人通过脚本恶意发送手机号码么？手机号码可以动态生成，IP地址也可以动态生成，这下把我问懵B了，上网找也没找到什么好方法，请教各位有没有这方面的经验，传授一下。感激万分。
程序员,到兄弟连,php/java/ui/html5/python/linux/大数据,7大IT课程供你选择.兄弟连IT教育,覆盖全国19座城市,21所校区,IT学员的共同选择!可以试学报名中
你看看大公司的做法，不都是加个验证码么
楼上正解，一串数字验证码而已
老婆：我美还是你前任美老公：她画了妆都木有你化成灰美..
登录百度帐号