公司验证码接口被黑客攻击的解决方案

背景:

昨晚公司的验证码接口被黑客攻击了
后台妹纸准备让我换图形验证码,此图形验证码方案主要用作网站防止攻击,app 端要是搞的话比较麻烦,不想麻烦.分析初步想出了本文的解决方案.基本获得认可和实施.

我们公司的验证码接口格式如下(只是格式真实内容不是下面这样的)

http://服务器地址/api?e=14696&method=get-code&mobile=13554080000%%%%%token=D39690AAB8XXXXXXXXXXXXXXXXXXXX

黑客抓取到发送验证码的接口,不断的发送网络请求,公司凌晨一个号码就发送了1000多条短信,猜测黑客使用青花瓷等抓包软件抓取到接口不断的调用如下所示

while(1){
   request() 验证码
}

整个验证码发送的回路如下:

解决方法:

服务器建一个表,记录每个用户的发送短信的次数,收到某个手机号码的的网络请求超过10次,就不再给验证码平台发送短信.这样避免短信过度消耗.如下图所示

  • 1)仅仅改变电话号码不知道我们的算法 是得不到Token的
  • 2)得不到Token,服务器都进不去,就调用发送验证码的接口了

黑客想继续攻击 再找一个真实的手机号码吧,再点击发送验证码按钮,抓取请求吧,这样的URL Token经过app代码算出来的肯定正确,由于服务器增加了限制5条(ps以前没限制,接口才会被攻击),搞一次可以再发5条,初步估算:一个人忙活5个小时(3000条短信,需要抓600次网络请求)估计可以为公司带来30块钱的损失吧,如果你想这么搞 我们让你搞哈哈

如果有更好的解决方案,欢迎留言或者加我微信:health689

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容