短信验证码安全需求设计

背景:

近期发现部分系统再短信充值频繁,发现存在恶意消耗短信额度现象,数据库表排查,发现大量非合法用户非法调用短信接口API导致额度耗尽。由于系统当初设计存在安全缺陷,故被不法分子进行利用,造成损失。

安全设计

增加二次校验

短信接口调用添加滑块验证、或者较为复杂的验证码,加大自动化脚本攻击难度

限制访问频次

同一个手机号短时间内请求验证码次数限制(5-10/分钟1次)

数据库字段设计

增加调用短信类型、如注册调用、修改密码、消息提醒、调用IP等字段,便于后续短信使用额度总量查询

黑名单限制

对于同一个手机号或者IP调用次数过多(5-10次)对其封禁处理

接口签名

对短信接口进行签名验签,加大伪造合法请求难度

验证码与用户绑定

验证码必须与用户身份绑定,防止通用验证码

验证码不过期

验证码使用后立即过期

相关推荐
wanhengidc1 小时前
高防服务器租用:保障数据安全
服务器·网络·安全
一只鹿鹿鹿6 小时前
【网络安全】等级保护2.0解决方案
运维·安全·web安全·架构·信息化
自由鬼7 小时前
如何处理Y2K38问题
java·运维·服务器·程序人生·安全·操作系统
都给我15 小时前
零信任网络概念及在网络安全中的应用
网络·安全·web安全
冥想的小星星17 小时前
Prevent Prompt Injection
安全·llm
longze_717 小时前
使用iptables封禁恶意ip异常请求
安全
深盾安全18 小时前
Native开发的硬核实力与安全守护:深度解析与实战指南
安全
字节跳动安全中心1 天前
AI时代身份验证 | 智能体身份和访问控制思考
安全·llm·agent
匀泪1 天前
防火墙安全实验
服务器·网络·安全
智驱力人工智能1 天前
假期国道安全:智慧货车计数与异常检测
大数据·人工智能·安全·智慧城市·智能巡航·大货车计数