短信驗證碼攻擊問題

2019-11-09 14:56:18

字體：大中小

來源：轉載

供稿：網友

昨天突然收到短信服務提供商報警，說我們的短信接口遭受攻擊，收到大量短信驗證碼通知。登錄后臺管理服務，發現確實收到攻擊，正常一天的發送量不會超過100條，但昨天已經突破三千，并且還在上漲；登錄服務器日志查看，也確實發現超出正常范圍的訪問請求。當時寫接口的時候，用post請求，也就是想盡量不向攻擊者暴露接口參數，但還是想得太簡單了，攻擊者均為職業選手，或稱為黑客（雖然其實很低級），簡單的post或get無法迷惑他們。當初設計接口的時候，http請求，僅包含手機號碼在內的三個參數，服務器沒有時間防護、簽名校驗等措施，基本屬于“裸奔”狀態，給“黑客”留下了漏洞。修復此漏洞的方法，整理下來，不外乎以下五種：圖文驗證碼：在發送驗證碼前，必須先進行圖文識別，通過后才可發送驗證碼；除了有相當高的圖文驗證碼識別技術，一般圖文驗證碼是不容易被識別的，因此也是最有效的防攻擊手段；流程改進：在發送驗證碼前，進行其他認證操作，比如密碼設置、身份識別、輸入更多信息等，使得虛假信息無法正常發送。接口簽名：設置隱含的簽名密鑰，對接口請求參數進行簽名，在服務器端進行簽名有效性的驗證。這種辦法也是一種較為有效的方法，但密鑰在客戶端的安全需要得到保證。時間防護：限制手機號碼在指定時間的發送次數，比如60s或120s內僅允許一次發送、一天僅允許10次發送等，防止頻繁發送；這種方式無法徹底解決短信攻擊問題。ip防護：對發起發送請求的服務器ip進行限制。一般黑客發起攻擊的服務器較為有限，當大批量的請求部署在服務器上時，后臺會跟蹤到頻繁發送請求的黑客服務器ip地址，可以對其地址進行類似黑名單的管制。當發現同一個ip短期發送大量請求時，可以限制其訪問。這種方式也無法徹底解決短信攻擊問題。從效果上說，圖文驗證碼最為可靠，其次改進流程，再次是接口簽名，時間防護和ip防護有其局限性，但前三種均需要升級App客戶端，并且在App上進行圖文驗證、改進流程都影響用戶體驗，后面兩種可以直接在服務器端生效，因此本次方案我選擇時間防護和ip防護。雖然無法徹底解決問題，甚至還會導致誤殺問題，但對于我們的現狀，還是可以起到顯著作用。通過對日志和短信后臺的分析，綜合運用這兩種方案，明顯遏制了短信攻擊問題。最后，我想，程序員不能偷懶，不能僥幸，“黑客”無處不在。

上一篇：SDWebImage介紹

下一篇：屏幕分辨率