短信驗(yàn)證碼接口被惡意攻擊了該怎么辦？

在企業(yè)運(yùn)行的時(shí)候，安全意識(shí)和風(fēng)險(xiǎn)防范機(jī)制一定要做好。在 2019 年 SUBMAIL 短信平臺(tái)就有幾個(gè)客戶的短信驗(yàn)證碼接口遭到了惡意攻擊，如果沒有做好防范就會(huì)造成一定程度的損失。

那么，當(dāng)短信驗(yàn)證碼接口被惡意攻擊的時(shí)候，該怎么辦呢？

所幸的是，SUBMAIL 賽郵云通信有一系列的防范機(jī)制，幫助客戶及時(shí)解決問題。

一、如何防范短信驗(yàn)證碼被攻擊？

1.圖形驗(yàn)證碼

大部分短信轟炸腳本基于網(wǎng)頁爬蟲，圖形驗(yàn)證碼可以簡(jiǎn)單粗暴的防御這類刷碼行為。

在短信請(qǐng)求之前，讓用戶輸入圖形驗(yàn)證碼，比對(duì)后發(fā)起API請(qǐng)求即可，如以下截圖:

2.記錄、比對(duì)IP和手機(jī)號(hào)碼，做頻率限制，過濾空 IP 頭

用戶請(qǐng)求驗(yàn)證碼時(shí)，記錄請(qǐng)求的 IP 和手機(jī)號(hào)碼，并對(duì)發(fā)送頻率做限制，例如每分鐘/單個(gè) IP/單個(gè)手機(jī)號(hào)僅能請(qǐng)求一次。如果腳本無法獲取用戶的真實(shí) IP，請(qǐng)直接過濾這類請(qǐng)求。

3.在 SUBMAIL 設(shè)置驗(yàn)證碼模板的單日請(qǐng)求上線

設(shè)置驗(yàn)證碼模板的單日請(qǐng)求上限，設(shè)置一個(gè)合適的數(shù)值，這樣每個(gè)手機(jī)號(hào)碼單日超過這個(gè)上線的數(shù)量的驗(yàn)證碼請(qǐng)求會(huì)被 SUBMAIL 直接過濾。要設(shè)置模單日請(qǐng)求上線。

4.設(shè)置 IP 白名單

前往 SUBMAIL -> 短信-> 創(chuàng)建/管理 APPID 頁面，設(shè)置IP白名單，保護(hù)您的 APPID 不被非法劫持后濫用。

二、SUBMAIL 短信平臺(tái)的主動(dòng)防御機(jī)制

SUBMAIL 短信平臺(tái)為短信驗(yàn)證碼接口植入了主動(dòng)防御的機(jī)制，提供了更強(qiáng)大的保護(hù)措施。SUBMAIL 主動(dòng)防御機(jī)制會(huì)在以下3種情況中被觸發(fā)：

1.空號(hào)率觸發(fā)安全機(jī)制：

當(dāng)用戶請(qǐng)求發(fā)送的手機(jī)號(hào)碼空號(hào)率達(dá)到一定的百分比之后，觸發(fā)防御機(jī)制；

2.手機(jī)號(hào)碼高頻率請(qǐng)求觸發(fā)安全機(jī)制：

當(dāng)單個(gè)手機(jī)號(hào)高頻率的請(qǐng)求驗(yàn)證碼時(shí)，到達(dá)一定比例，觸發(fā)防御機(jī)制；

3.歷史黑名單命中率觸發(fā)安全機(jī)制：

當(dāng)命中歷史黑名單到達(dá)一定比例時(shí)，觸發(fā)防御機(jī)制；

SUBMAIL 主動(dòng)防御機(jī)制被觸發(fā)后，將會(huì)自動(dòng)設(shè)置合適的安全級(jí)別，防御惡意請(qǐng)求。例如非法請(qǐng)求僅能獲取3次驗(yàn)證碼，如超過 3 次，將會(huì)被列入臨時(shí)保護(hù)黑名單。