网站被恶意调用发送验证码接口，已经要疯了！！！

前端有一个调用发送验证码的网页，估计被哪个别人有心的人恶意调用了，现在数据库不断在 insert 数据验证码的记录，有一个手机号多达 800 多次。目前已经限制每个手机号 5 分钟内只能发 5 条，但是对方换了策略，发了 N 多个手机号，天啊！求对策！

yinxingren

2016-02-19 12:21:19 +08:00

验证码～

lshero

2016-02-19 12:21:29 +08:00

加图验

htfy96

2016-02-19 12:22:31 +08:00

限制每个 ip 5 分钟只能发 5 条， 30 分钟只能发 10 条， 2 小时内只能发 15 条？

wclebb

2016-02-19 12:23:38 +08:00

这是用来「呼死你」短信，为达到让对方手机无法正常使用通信的目的。

wclebb

2016-02-19 12:24:25 +08:00

你不说你网站是干嘛的。。。

feiyuanqiu

2016-02-19 12:26:00 +08:00

把验证码放 redis 或缓存里？

bjrjk

2016-02-19 12:28:44 +08:00

你限制每个 IP 每分钟只能发 1 条，不管是那个手机号都只能一条不就完了

daniellu

2016-02-19 12:31:25 +08:00

CSRF 验证？

lijinma

2016-02-19 12:35:31 +08:00

我也遇到过，几个方法：

1. 最通用的方法，就是在前端加验证码来限制。
2. 限制 ip ，使用 fail2ban 来监控 nginx 日志，然后限制 ip

建议你使用方法 1 ，不要图简单。

500miles

2016-02-19 12:36:44 +08:00

验证码被识别了? 还是压根儿没有图形验证码?

jarlyyn

2016-02-19 12:43:53 +08:00

加验证

401 页面加 cookie,nginx 判断 cookie 反代，定时修改。

动态 js 生成验证码，类似 crsf 。

之前客户遇到过，我能想到的办法就这些。

jarlyyn

2016-02-19 12:44:39 +08:00

另外不要考虑限制 ip 和手机号码。

带不带重复的。

我怀疑是坐在应用程序里的，而非网站。

firefox12

2016-02-19 12:44:46 +08:00

图形校验码啊

skiplow

2016-02-19 12:47:19 +08:00

接口加个校验值呀！

br00k

2016-02-19 13:02:11 +08:00

放数据库作死么。。。上 redis ，加点限制就行了。随便玩。

meijing0114

2016-02-19 13:34:54 +08:00

首先校验请求有效性吧，相同的验证码可以重复提交？
其次对 ip 限频，防止被恶意调用。
再次这种数据不适合放在数据库吧，如果只是要统计一下的话。

shiny

2016-02-19 13:37:34 +08:00

好多人好像没 get 到点，发短信验证码是要钱的。

mailunion

2016-02-19 13:41:40 +08:00

你把短信验证这一步取消了不就行了！
你把短信验证这一步取消了不就行了！
你把短信验证这一步取消了不就行了！
你把短信验证这一步取消了不就行了！
你把短信验证这一步取消了不就行了！
你把短信验证这一步取消了不就行了！
你把短信验证这一步取消了不就行了！
你把短信验证这一步取消了不就行了！
你把短信验证这一步取消了不就行了！
你把短信验证这一步取消了不就行了！

phpcxy

2016-02-19 13:44:29 +08:00

我用云片，他那边已经限制了 30 分钟同一个手机号只能发两条

TangMonk

2016-02-19 13:45:01 +08:00

我也遇到过，加了 csrf token 就没事了，如果还不行那就加入图形验证码

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/257591

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.