短信验证码安全需求设计

背景:

近期发现部分系统再短信充值频繁,发现存在恶意消耗短信额度现象,数据库表排查,发现大量非合法用户非法调用短信接口API导致额度耗尽。由于系统当初设计存在安全缺陷,故被不法分子进行利用,造成损失。

安全设计

增加二次校验

短信接口调用添加滑块验证、或者较为复杂的验证码,加大自动化脚本攻击难度

限制访问频次

同一个手机号短时间内请求验证码次数限制(5-10/分钟1次)

数据库字段设计

增加调用短信类型、如注册调用、修改密码、消息提醒、调用IP等字段,便于后续短信使用额度总量查询

黑名单限制

对于同一个手机号或者IP调用次数过多(5-10次)对其封禁处理

接口签名

对短信接口进行签名验签,加大伪造合法请求难度

验证码与用户绑定

验证码必须与用户身份绑定,防止通用验证码

验证码不过期

验证码使用后立即过期

相关推荐
盟接之桥3 小时前
盟接之桥说制造:源头制胜,降本增效:从“盟接之桥”看供应链成本控制的底层逻辑
大数据·网络·人工智能·安全·制造
RFID舜识物联网3 小时前
NFC技术如何破解电子制造领域的效率瓶颈与追溯难题
大数据·人工智能·嵌入式硬件·物联网·安全·制造
小苑同学11 小时前
安全对齐到底是什么
人工智能·安全
CC-NX11 小时前
移动终端安全:实验2-创建自签名证书对APP签名
安全·安卓逆向·签名校验
深盾科技19 小时前
如何读懂Mach-O:构建macOS和iOS应用安全的第一道认知防线
安全·macos·ios
wanhengidc21 小时前
云手机ARM架构都具有哪些挑战
运维·服务器·安全·游戏·智能手机
KKKlucifer1 天前
Gartner 2025 中国网络安全成熟度曲线深度解读:AI 安全如何重构防御逻辑
人工智能·安全·web安全
FreeBuf_1 天前
微软警示AI驱动的钓鱼攻击:LLM生成的SVG文件绕过邮件安全检测
人工智能·安全·microsoft
灵雀云1 天前
灵雀云六度入选 Gartner 中国 ICT 技术成熟度曲线报告,ACP以安全、稳定、智能三大核心能力定义企业级云原生数字底座
安全·云原生
Bruce_Liuxiaowei1 天前
Kerberos协议深度解析:工作原理与安全实践
运维·windows·安全·网络安全