防盗刷指南

      短信轰炸是指通过恶意程序,利用从各个网站上找到的动态短 URL (比如验证码发送的URL)和 前端输入的被攻击者手机号码,发送 HTTP 请求,每次请求给用户发送一个动态的短信(比如验证码短信)。 最终的效果,就是朝许多无关的手机用户,发送很多验证码短信。导致手机用户被骚扰。

     

     

  • 获取验证码的网站页面,没有做防止非法获取验证码的措施,比如最简单的图形校验码。(常见于网站上获取验证码)

    建议:点击获取验证码之前做一个校验,比如需要正确输入图形验证码、拖动验证等。

  • 发送短信的接口暴露,且没有做加密措施,遭受恶意调用。(此类常见于APP侧获取验证码)

    建议:在短信接口做一些加密措施(例如加入图形验证等方式),防止非法调用。

  • 如出现被恶意攻击或者盗刷的情况,建议暂停调用短信接口,并完善您网站或接口的防御措施。

    建议:碰到攻击,首先要确认攻击来源,判断是哪个注册入口遭到攻击。

    • 增加图形校验码。使用成熟的图形验证产品。

    • IP地址限制。在服务器端增加对单个IP请求的验证码数量进行限制。

    • 手机号码限制。客户在服务器端对单手机号请求的验证码数量进行限制。



在线客服(QQ)

在线客服(微信)

网站首页
注册有礼
开发文档
在线客服