背景:
近期发现部分系统再短信充值频繁,发现存在恶意消耗短信额度现象,数据库表排查,发现大量非合法用户非法调用短信接口API导致额度耗尽。由于系统当初设计存在安全缺陷,故被不法分子进行利用,造成损失。
安全设计
增加二次校验
短信接口调用添加滑块验证、或者较为复杂的验证码,加大自动化脚本攻击难度
限制访问频次
同一个手机号短时间内请求验证码次数限制(5-10/分钟1次)
数据库字段设计
增加调用短信类型、如注册调用、修改密码、消息提醒、调用IP等字段,便于后续短信使用额度总量查询
黑名单限制
对于同一个手机号或者IP调用次数过多(5-10次)对其封禁处理
接口签名
对短信接口进行签名验签,加大伪造合法请求难度
验证码与用户绑定
验证码必须与用户身份绑定,防止通用验证码
验证码不过期
验证码使用后立即过期