古越剑箫

学习是一种习惯

  :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: :: 管理 ::

 

现在的登录一般都采用手机号+验证码进行注册,登录。

容易被攻击的接口:注册时用户输入号码就可直接触发短信!最容易被短信轰炸机利用,只要网站被搜索引擎收录,短信轰炸机就很容易检索到注册页面。的

 

 

防止攻击的集中常见做法,

1、请求短信验证码接口的时候加上图形验证码,只有正确输入图形验证码,才发送请求,这是现在互联网公司最常用的做法

2、流程验证,用户在注册完毕获得用户名和密码之后,才请求短信验证码接口,这个不常用

3、要求录入一大堆注册数据,然后才请求短信验证码接口,这种在PC端好用,移动端不建议这样使用

4、服务器设置同一个号码连续请求的时间间隔,比如120秒种发一次

5、IP,移动设备名,进行限制,一个ip或者设备一天只能请求多少次

6、限制同一个手机号每天请求的次数

 

 

一般最常用的方法是1+6,这样基本可以解决恶意访问短信接口的问题!

 

posted on 2016-10-21 11:18  古越剑箫  阅读(1893)  评论(0编辑  收藏  举报