阿里云 短信服务——验证码盗刷与短信轰炸

阿里云 短信服务------验证码盗刷与短信轰炸

前言

最近在项目上使用到了阿里云的短信服务在忘记密码业务中发送短信验证码。

出于对于日后的业务安全的考虑需要考虑到验证码盗刷以及短信轰炸对于公司以及用户造成的损失。本篇博客是参照阿里云官方文章中的对于验证码盗刷与短信轰炸的预防和具体解决措施,小编将其摘抄了出来分享给大家,希望对有这一块儿业务和安全考虑的读者提供帮助。

验证码盗刷与短信轰炸

本文为您介绍了验证码盗刷及应对建议、短信轰炸及预防建议。

验证码盗刷及应对建议攻击者利用用户短信资源中验证码获取功能,通过程序的方式批量对单个或者多个号码进行验证码重复请求提交。用户验证码被刷后直接带来的是经济损失,同时对被攻击的号码带来了巨大的骚扰。您可以通过以下方式进行防御或应对:

  1. 开启验证码防盗刷监控。具体操作指引,请参见 开启验证码防盗刷监控
  2. 添加验证码。用户进行短信发送操作前,需要正确输入图形验证码、拖动验证等。
  3. IP地址限制。在服务器端增加对单个IP请求的验证码数量进行限制。
  4. 手机号码限制。客户在服务器端对单手机号请求的验证码数量进行限制。
  5. 暂停调用短信接口,并完善网站或接口的防御措施。

短信轰炸及预防建议短信轰炸是指攻击者利用您的网站或应用触发大量无效短信,并发送给大批量用户。此行为往往利用自动化工具批量、自动地发送短信,导致接收短信的手机用户被骚扰,给业务方造成品牌及业务不良影响。您可以通过以下方式预防短信轰炸:

  1. 添加图形验证码(CAPTCHA):即当用户进行动态验证码短信发送操作前,弹出图形验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上。该方法有效防止恶意工具的自动化调用,可有效解决被利用实施短信轰炸攻击的问题。
  2. 对验证码获取做限制:一般限制为60秒,60秒后可重新获取验证码。
  3. 对验证码有效性做时间限制:一般限制在30秒以内,超出30秒没有输入的验证码作废,需重新获取。

如果博主的文章对您有所帮助,可以评论、点赞、收藏,支持一下博主!!!

相关推荐
AKAMAI2 天前
每百万 Token 成本砍六成,出海 AI 团队开始重算推理这笔账
人工智能·云计算
Inhand陈工14 天前
基于台达PLC与映翰通IG502的智慧水产养殖精准投喂与远程运维解决方案
运维·人工智能·物联网·阿里云·信息与通信
Database_Cool_14 天前
什么是数据仓库物化视图?AnalyticDB MySQL 实时物化视图能力解析
人工智能·mysql·阿里云
Database_Cool_14 天前
大规模数据分析降本指南:AnalyticDB Serverless 弹性架构实战
数据仓库·阿里云·架构·数据分析·serverless
tiancaijiben15 天前
阿里云Kubernetes集群托管完全指南:从创建到生产级运维
云计算
我是小bā吖15 天前
Claude Code 模型接入阿里云 AI 网关并统计不同使用者的模型用量
网络·人工智能·阿里云
翼龙云_cloud15 天前
阿里云国际代理商:如何使用RDS MySQL 构建网站数据库?
数据库·mysql·阿里云
互联网推荐官15 天前
上海软件定制开发公司推荐:从PaaS工程化路径看D-coding的技术取舍
云原生·云计算·paas·软件开发·开发经验·上海
sbjdhjd15 天前
从零搭建企业级 CI/CD(下):Jenkins+GitLab+Harbor 全链路实战指南
git·servlet·ci/cd·云原生·云计算·gitlab·jenkins
wcy1008615 天前
为 CentOS 7.6 (7.6.1810) 配置阿里云 Vault 源
linux·阿里云·centos