防御短信轰炸漏洞_友好速搭

友好速搭

防御短信轰炸漏洞

分类: 电商搭建 | 发表时间:2015.09.01 12:46
电商搭建 2015.09.01 12:46

#短信轰炸 尽管已进入移动互联网时代,人们很少通过短信交流。但是,作为可靠的通信渠道,大家常通过短信接收通知,例如:验证手机号码、通知余额或优惠等。

在友好速搭的基础设施中,就包括可靠的短信发送通道。主要目的,是帮助商家,向顾客发送触发型短信。典型的使用场景,就是顾客通过手机号注册,或者通过手机号找回密码时,顾客无需登录帐号,就可以向输入的手机号码,发送验证码短信: #手机注册 #找回密码

但在近期,通过短信通道的日志,发现系统的发送短信不正常,在同家店铺的同一时段,会有密集的手机验证码短信发出: #短信通道日志 通过请求日志,发现这些发送手机注册验证码的请求,并没进一步完成注册: #请求日志 从而可以判定,我们正遭受短信轰炸攻击。这种攻击方式,主要是融合不同产品的短信发送接口,通过不同 IP 的肉鸡,向指定手机循环发送垃圾短信,对指定手机达到骚扰目的。通常情况下,手机注册功能,用户无需登录,就可以发送验证手机号码的短信。这类发送短信的接口,很容易被利用,被打包进短信轰炸机。可以在网上找到很多短信轰炸机产品: #短信轰炸机

对友好速搭来说,成为短信轰炸机的傀儡,会导致商家的短信额度,被无故消耗,短信的成本并不低,会带来损失。更严重的,还可能导致运营商,封停友好速搭的短信通道。作为服务商,如何有效屏蔽,这类恶意发送短信的请求?

由于请求来源 IP 并不固定,骚扰的手机号码也不固定,通过 IP 和手机号码,都无法有效防御。简单有效的,就是通过图片验证码,来区分人机请求。我们已经在有风险的短信接口,增加了图片验证码,输入正确的验证码,才能发送短信: #图片验证码

由于图片验证码,也会有被自动识别的风险,所以除此之外,我们还针对有风险的短信发送接口,增加如下限制:

  • 相似内容发送频率很高,不发送后续相似内容
  • 单个手机号码,单日短信发送量有上限

经过以上三个业务改进后,通过请求日志和短信记录,已看不到恶意短信发送迹象。看来,短信轰炸机反应挺及时,会及时更新傀儡接口。

分享文章
免费领取15天试用
立即注册
联系客服
微信咨询
微信二维码

领取免费试用资格

姓名 *

电话 *

公司名称

所在地区

意向产品

提交

提交成功

你好, XXX女士/先生 ,你的需求已提交成功,后续会有专门的客户经理与你电话联系。谢谢!