网站被恶意调用发送验证码接口,已经要疯了!!!

2016-02-19 12:19:21 +08:00
 ifconfig

前端有一个调用发送验证码的网页,估计被哪个别人有心的人恶意调用了,现在数据库不断在 insert 数据验证码的记录,有一个手机号多达 800 多次。目前已经限制每个手机号 5 分钟内只能发 5 条,但是对方换了策略,发了 N 多个手机号,天啊!求对策!

19322 次点击
所在节点    程序员
60 条回复
salmon5
2016-02-19 20:22:28 +08:00
加验证码,
手机注册就手机注册呗,有些程序猿真是清高,有些场景就是需要手机验证码这种相对物理的安全验证方式。你破解我手机验证码试试?邮箱撞库安全系数没手机高。
nightv2
2016-02-19 22:23:37 +08:00
同样好奇短信提供商没有屏蔽你么?
jyu213
2016-02-19 22:24:14 +08:00
好好奇,为啥没有人提 360 的双向验证。。。
tianice
2016-02-19 22:25:51 +08:00
后台加上验证规则,像你之前的规则,超过规则后后台不发送验证码,前台还是提示发送成功,他摸不透你的规则就老实了,前台无论如何都要提示发送成功
libook
2016-02-19 22:33:54 +08:00
1 阶段:验证码
2 阶段:记录放在 Redis 缓存里
3 阶段:缓存用 IP 做 Key
4 阶段:反思一下自己得罪谁了

通常 1 阶段就够了。
gkiwi
2016-02-19 23:05:06 +08:00
难道只有我考虑的是,要浪费我好多钱么。。。
publicAdmin
2016-02-19 23:07:21 +08:00
建议:
1.如果有安全厂商的联系渠道,建议通过其获取一份手机号码黑名单过滤文件
(至于他们的数据来源,未知。猜测是通过某些策略判断为机器人操作后添加的)
2.如果需要保持足够高的安全性,且用户普遍质量偏高,建议尝试语音验证码
3.server 添加短信策略
4.安利个传说的新型验证方式.`极验`
弊端:
会误杀部分,但对刷验证码应该有一定缓解。短信商没封你的接口也算是可以了。
pabno
2016-02-19 23:16:44 +08:00
图片验证应该就够了,如果做 IP 限制,挺多地方是一片区域共用一个 IP 的,例如广州这边的城中村。
@zxgngl 估计是想要收集数据吧
leilux
2016-02-19 23:19:21 +08:00
如果是直接调用 send_msg.php 的加 csrf 可以解决
如果是靠刷注册页面来发短信的可以加图形验证码

总之 send_msg.php 这个需要有个类似 token 的参数来增加调用的代价
tairan2006
2016-02-20 00:14:38 +08:00
加图形验证码,语音验证码,或者干脆让用户给你发短信。。
体验依次下降
bkmi
2016-02-20 00:16:08 +08:00
超过几次之后 图像验证码啊 这种强度,就算不是刷验证码 普通页面都应该封 ip 了吧
incompatible
2016-02-20 00:22:11 +08:00
@br00k 楼主的问题并不在于用数据库还是 redis 。以及这点数据量用数据库怎么就作死了?
pynix
2016-02-20 00:52:18 +08:00
笑尿
MrMario
2016-02-20 08:46:56 +08:00
可以试试阿里的滑动验证,就用户体验来说,还是可以的
wbsdty331
2016-02-20 11:32:29 +08:00
让用户给你发短信 怎么样
xlrtx
2016-02-20 11:32:37 +08:00
sms 服务应该会有每天上限的, 我做过的一个是每天同一个手机 5 条, 再加上 captcha 和 ip 限制, 就不会有问题的
tSQghkfhTtQt9mtd
2016-02-20 13:19:47 +08:00


当然你用户如果不是都会翻墙那当我没说
mrwangrj
2016-02-20 15:10:50 +08:00
h4rdy
2016-02-20 16:19:54 +08:00
给 send_msg.php 传输 post 数据。
number=1388888888&token=xxxxxx
使用 token
jlj224
2016-11-30 15:04:00 +08:00
我们用的 SUBMAIL 是有每日次数限制的。而且他们有个主动防御机制,但是有部分会被误杀 http://submail.cn/

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/257591

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX