在上一篇《短信驗證碼接口攻擊(短信轟炸)原理分析》,我們了解了驗證碼短信接口遭受短信轟炸的原理,本篇將和大家介紹下具體的防護措施。我們知道短信轟炸形成的原因是因為非授權的動態短信獲取,如用戶注冊時的手機驗證短信,在用戶獲取驗證碼短信前系統並不能建立業務關聯。因此,在未建立業務關聯的情況下,需要進一步嚴格限制保證業務使用的安全性。我們可以綜合采用:增加圖片驗證碼、IP請求次數限制、單用戶請求間隔時長限制3個措施,來保障驗證碼短信接口的安全性。
- 措施一:使用安全的圖片驗證碼
采用圖片驗證碼可有效防止采用自動化工具調用驗證碼短信接口,即當用戶進行“獲取短信驗證碼”操作前,彈出圖片驗證碼,要求用戶輸入驗證碼后,服務器端再發送驗證短信到用戶手機上。安全的圖片驗證碼必須滿足:
- 生成過程安全:圖片驗證碼必須在服務器端進行產生與校驗;
- 使用過程安全:單次有效,且以用戶的驗證請求為准;
- 驗證碼自身安全:不易被識別工具識別,能有效防止暴力破解。
- 措施二:單IP對驗證碼短信接口的請求次數限定
使用了圖片驗證碼后,能防止攻擊者對驗證碼短信接口的自動化調用;但若攻擊者忽略圖片驗證碼驗證錯誤的情況,大量執行請求會給服務器帶來額外負擔,影響業務使用。此時可以在服務器端限制單個IP在單位時間內的請求次數,一旦用戶請求次數(包括失敗請求次數)超出設定的值,則暫停對該IP一段時間的請求;若情節特別嚴重,可以將IP加入黑名單,禁止該IP的訪問請求。該措施能限制一個IP地址的大量請求,避免攻擊者通過同一個IP對大量用戶進行攻擊,增加了攻擊難度,保障了業務的正常開展。
- 措施三:單用戶請求間隔時長限制
為進一步優化業務正常使用,可以采用限制重復發送短信驗證碼的間隔時長,即當單個用戶請求發送一次短信驗證碼之后,服務器端鎖定如:30秒后,才能進行第二次請求。該功能可進一步保障用戶體驗,並避免包含手工攻擊惡意發送大量驗證碼短信。
原文閱讀:《短信驗證碼安全防護方案(二)綜合防護措施》___漫道短信平台