短信验证码安全需求设计

背景:

近期发现部分系统再短信充值频繁,发现存在恶意消耗短信额度现象,数据库表排查,发现大量非合法用户非法调用短信接口API导致额度耗尽。由于系统当初设计存在安全缺陷,故被不法分子进行利用,造成损失。

安全设计

增加二次校验

短信接口调用添加滑块验证、或者较为复杂的验证码,加大自动化脚本攻击难度

限制访问频次

同一个手机号短时间内请求验证码次数限制(5-10/分钟1次)

数据库字段设计

增加调用短信类型、如注册调用、修改密码、消息提醒、调用IP等字段,便于后续短信使用额度总量查询

黑名单限制

对于同一个手机号或者IP调用次数过多(5-10次)对其封禁处理

接口签名

对短信接口进行签名验签,加大伪造合法请求难度

验证码与用户绑定

验证码必须与用户身份绑定,防止通用验证码

验证码不过期

验证码使用后立即过期

相关推荐
腾视科技1 小时前
安全驾驶 智在掌控|腾视科技ES06终端,为车辆运营赋能
大数据·人工智能·科技·安全·大模型
cliproxydaili1 小时前
Cliproxy与Adspower指纹浏览器:跨境业务安全与效率的双重引擎
运维·服务器·安全
zandy10112 小时前
2025企业级智能体平台架构拆解: 如何安全合规下构筑强大的护城河
大数据·安全·架构·智能体
小小小CTFER8 小时前
理论题] 2025 年 “技耀泉城” 海右技能人才大赛网络安全知识竞赛题目(二)
算法·安全·web安全
杭州泽沃电子科技有限公司18 小时前
烧结工序的“隐形守护者”:在线监测如何成为钢铁制造的关键支柱
物联网·安全·智能监测
卓豪终端管理18 小时前
从发现到阻止:构建自动化内部威胁防线的核心步骤
网络·安全·web安全
第十六年盛夏.19 小时前
【网络安全】未授权漏洞
安全·web安全
骥龙20 小时前
1.1、开篇:AI如何重塑网络安全攻防格局?
人工智能·安全·web安全
Web3_Daisy21 小时前
冷换仓的隐性代价:从安全策略到地址信誉体系的重新思考
大数据·安全·web3·区块链·比特币·1024程序员节