等過短信驗證碼進行身份驗證是一個快速登錄網站的一種方式,因為其便捷性給現在的用戶們的生活帶來了許多的便利。但是也會有疑惑,這種方式是否真的安全呢?在使用的過程中會不會出現個人賬號信息泄露的風險。
短信驗證碼接口可能會遭受到一種互聯網惡意攻擊——“短信轟炸”。這種攻擊通過循環利用某些業務中的無需注冊或驗證即可向任意手機號發送短信驗證碼的正常業務需求(比如用戶注冊激活、登錄、密碼重置等),向固定手機號不停發送大量的驗證短信,這種惡意行為不但對用戶造成了困擾,相關企業也要因此承擔不小的經濟和名譽損失。
短信轟炸基于網絡的方式,并且由兩個模塊組成,一個是前端的網頁界面,可以用于提供輸入被攻擊的手機號,另外一個后臺的攻擊頁面,利用從互聯網各網站上找到的短信驗證碼 URL ,匹配前端輸入的被攻擊者手機號碼,同時發送 HTTP 請求,調用業務服務器短信發送的接口,請求給用戶發送一條短信驗證碼,通過不停的發送請求來實施“短信轟炸”攻擊。
其實只要明白,短信轟炸形成的原因并非本人授權獲得的動態短信,入用戶注冊時手機驗證短信,用戶獲取驗證碼短信前與系統并沒有建立任何業務關聯。針對這種情況要更加嚴格的限制驗證碼獲取短信的的業務使用的安全性。
從技術的角度來說我們增加IP的請求次數限制,用戶請求時長的限制,還有二次驗證的過程,這樣可以有效的限制惡意請求的連續申請,從而保障驗證碼短信接口的安全性。
