近期,根据很多客户反应,部分用户连续收到莫名验证码短信,对用户正常的网站短信验证码接口业务使用造成了严重的影响;同时还引起了大量的用户投诉。经分析该问题是由一种互联网恶意攻击方法—— “短信炸弹”形成,该攻击方法循环利用不同业务中的无需注册即可向任意手机号发生短信动态验证码的正常业务需求(如用户注册、好友邀请、密码取回等),可以向多个用户同时连续发送大量的验证短信,严重影响短信服务平台的正常使用,造成不良影响与大量投诉。虽然部分业务设定用户首次输入错误后,提供“手机号+动态验证码”的登录方式;但由于攻击工具循环调用不同的动态短信发送URL进行攻击,可绕开该限制进行攻击。 短信炸弹形成的原因是因为非授权的动态短信获取,而由于业务的需要(如注册、好友邀请等),在使用动态短信业务前系统并不能建立业务关联。因此,在未建立业务关联的情况下,需要进一步严格限制保证业务使用的安全性。 针对短信炸弹问题,建议综合采用:增加图片验证码、单IP请求次数限制、限制发送时长限制3个措施,防护“动态短信获取”功能与业务接口。 恶意攻击者采用自动化工具,调用“动态短信获取”接口进行动态短信发送,究其原因是攻击者可以自动对网站短信验证码接口进行大量调用。采用图片验证码可有效防止工具自动化调用,即当用户进行“获取动态短信”操作前,弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效解决被利用实施炸弹攻击的问题。 验证码短信:www.zhuitian3.com 短信群发:www.zhuitiankeji.com 广告短信:www.zhuitian7.com 游戏平台:www.zhuitian.cc 营销短信:www.zhuitian5.com 短信平台:www.zhuitian2.com |