短信验证码安全需求设计

背景:

近期发现部分系统再短信充值频繁,发现存在恶意消耗短信额度现象,数据库表排查,发现大量非合法用户非法调用短信接口API导致额度耗尽。由于系统当初设计存在安全缺陷,故被不法分子进行利用,造成损失。

安全设计

增加二次校验

短信接口调用添加滑块验证、或者较为复杂的验证码,加大自动化脚本攻击难度

限制访问频次

同一个手机号短时间内请求验证码次数限制(5-10/分钟1次)

数据库字段设计

增加调用短信类型、如注册调用、修改密码、消息提醒、调用IP等字段,便于后续短信使用额度总量查询

黑名单限制

对于同一个手机号或者IP调用次数过多(5-10次)对其封禁处理

接口签名

对短信接口进行签名验签,加大伪造合法请求难度

验证码与用户绑定

验证码必须与用户身份绑定,防止通用验证码

验证码不过期

验证码使用后立即过期

相关推荐
爱思德学术16 分钟前
中国计算机学会(CCF)推荐学术会议-A(网络与信息安全):Eurocrypt 2026
安全·网络安全·密码学
数据智能老司机1 小时前
面向网络安全的数据工程——数据工程基础
安全·架构·数据分析
ALex_zry2 小时前
Go语言中的迭代器模式与安全访问实践
安全·golang·迭代器模式
.Shu.8 小时前
计算机网络 TLS握手中三个随机数详解
网络·计算机网络·安全
std8602116 小时前
ISO 22341 及ISO 22341-2:2025安全与韧性——防护安全——通过环境设计预防犯罪(CPTED)
安全
Warren9821 小时前
如何在 Spring Boot 中安全读取账号密码等
java·开发语言·spring boot·后端·安全·面试·测试用例
杭州泽沃电子科技有限公司1 天前
工业环境电缆火灾预防的分布式光纤在线监测
运维·人工智能·科技·安全
ScottePerk1 天前
前端安全之XSS和CSRF
前端·安全·xss
Bruce_Liuxiaowei1 天前
使用批处理脚本安全清理Windows系统垃圾
网络·windows·安全·网络安全
lingggggaaaa1 天前
小迪安全v2023学习笔记(七十讲)—— Python安全&SSTI模板注入&项目工具
笔记·python·学习·安全·web安全·网络安全·ssti