Web安全问题及防范规范之短信轰炸_B/S开发框架

Web站点为什么会遭受攻击？是为了恶作剧？损害企业名誉？免费浏览收费内容？盗窃用户隐私信息？获取用户账号谋取私利？总之攻击方式层出不穷，作为B/S开发框架来说，使用Web开发框架帮助开发者做好解决安全问题也是刻不容缓的，web编程模拟人工填写手机号码并获取验证码，进行短信轰炸，本篇文章来告诉大家怎么防范短信轰炸。

适用范围

快速开发平台云微平台web开发框架中使用了短信的应用。

攻击原理

短信轰炸机的工作原理是：首先收集网络上的验证码应用，并筛选易于攻击的部分，然后编程模拟人工填写手机号码并获取验证码，最后验证码短信通过运营商的短信通道发送到受骚扰者的手机上，导致受骚扰者进行投诉，基于web开发框架开发的有短信通知的软件在以下两条任一一条出现时那就要注意是否被恶意短信轰炸了：

1、他人恶意操作，恶意输入他人号码，造成垃圾短信骚扰。

2、验证码注册突然增多，短信费用支出成倍增加

解决方案

应用程序处理

1、输入手机号码之后需要匹配图形验证码，才可以点击获取短信验证码。 
2、规范注册流程，其它资料通过校验后，最后一步才发送手机短信验证码。
3、同一手机号同一天限制发送验证码次数。 
4、同一IP限制同一天发送验证码总次数。 
5. 限制单个IP地址24小时内请求验证码的次数；
6. 限制24小时内，针对同一手机号码发送验证码的总次数；
7. 限制验证码获取的间隔时间，请至少大于120秒；
8. 获取短信验证码前，必须加入图形校验码控制，采用问答式图形校验码；
9. 定期更换图形检验码生成机制和更新验证码页面的URL；

物理处理

无

Web站点为什么会遭受攻击？是为了恶作剧？损害企业名誉？免费浏览收费内容？盗窃用户隐私信息？获取用户账号谋取私利？总之攻击方式层出不穷，作为B/S开发框架来说，帮助开发者做好解决安全问题也是刻不容缓的，使用web开发框架编程模拟人工填写手机号码并获取验证码，进行短信轰炸，本篇文章来告诉大家怎么防范短信轰炸。

本站文章除注明转载外，均为本站原创或翻译，欢迎任何形式的转载，但请务必注明出处，尊重他人劳动，共创和谐网络环境。
转载请注明：文章转载自：华晨软件-云微开发平台 » Web安全问题及防范规范之短信轰炸_B/S开发框架
本文标题：Web安全问题及防范规范之短信轰炸_B/S开发框架