企業應用手機驗證碼短信接口的時候，安全意識要強，要做好風險防范機制，如果沒有做好防范就可能會造成一定程度的損失。

手機驗證碼短信接口被惡意調用和盜刷通常指的就網站的動態短信發送接口被短信轟炸工具收集，作為其中一個發送途徑。

手機驗證碼短信接口被惡意調用和盜刷的原理是怎樣的呢？如何防范呢？

一、什么是手機驗證碼短信接口被惡意調用和盜刷

手機驗證碼短信接口被惡意調用和盜刷一般基于 WEB 方式(基于客戶端方式的原理與之類似)，由兩個模塊組成，包括:一個前端 Web 網頁，提供輸入被攻擊者手機號碼的表單；一個后臺攻擊頁面(如 PHP)，利用從各個網站上找到的動態短信 URL 和 前端輸入的被攻擊者手機號碼，發送 HTTP 請求，每次請求給用戶發送一個動態短信。

- 被攻擊者大量接收非自身請求的短信，造成無法正常使用移動運營商業務。
- 手機驗證碼短信接口被惡意調用和盜刷通常指的就網站的動態短信發送接口被此類短信轟炸工具收集，作為其中一個發送途徑。

 

手機驗證碼短信接口被惡意調用和盜刷工作原理如下：

（1）惡意攻擊者在前端頁面中輸入被攻擊者的手機號;
（2）短信轟炸工具的后臺服務器，將該手機號與互聯網收集的可不需要經過認證即可發送動態短信的 URL 進行組合，形成可發送動態短信的 URL 請求;
（3）通過后臺請求頁面，偽造用戶的請求發給不同的業務服務器;
（4）業務服務器收到該請求后，發送動態短信到被攻擊用戶的手機上。


 

流程示例：

 

二、手機驗證碼短信接口被惡意調用和盜刷的防護方案

鑒于手機驗證碼短信接口被惡意調用和盜刷的發起一般都是服務器行為，應該采用如下綜合手段進行防御

（1）增加圖形驗證
（2）單IP請求次數限制
（3）限制號碼發送

（一）增加圖形驗證

惡意攻擊者采用自動化工具，調用“動態短信獲取”接口進行動態短信發送，原因主要是攻擊者可以自動對接口進行大量調用。
采用圖片驗證碼可有效防止工具自動化調用，即當用戶進行“獲取動態短信” 操作前，彈出圖片驗證碼，要求用戶輸入驗證碼后，服務器端再發送動態短信到用戶手機上，該方法可有效解決短信轟炸問題。

安全的圖形驗證碼必須滿足如下防護要求

- 生成過程安全:圖片驗證碼必須在服務器端進行產生與校驗;
- 使用過程安全:單次有效，且以用戶的驗證請求為準;
- 驗證碼自身安全:不易被識別工具識別，能有效防止暴力破解。

圖形驗證的示例：

（二）單IP請求次數限制

使用了圖片驗證碼后，能防止攻擊者有效進行“動態短信”功能的自動化調用;
但若攻擊者忽略圖片驗證碼驗證錯誤的情況，大量執行請求會給服務器帶來額外負擔，影響業務使用。建議在服務器端限制單個 IP 在單位時間內的請求次數，一旦用戶請求次數(包括失敗請求次數)超出設定的閾值，則暫停對該 IP 一段時間的請求;若情節特別嚴重，可以將 IP 加入黑名單，禁止該 IP 的訪問請 求。該措施能限制一個 IP 地址的大量請求，避免攻擊者通過同一個 IP 對大量用戶進行攻擊，增加了攻擊難度，保障了業務的正常開展。

（三）限制發送時長

建議采用限制重復發送動態短信的間隔時長， 即當單個用戶請求發送一次動態短信之后，服務器端限制只有在一定時長之后（此處一般為60秒），才能進行第二次動態短信請求。該功能可進一步保障用戶體驗，并避免包含手工攻擊惡 意發送垃圾驗證短信。

完整的動態短信驗證碼使用流程

   （四）、手機驗證碼短信接口植入了主動防御的機制，提供了更強大的保護措施， 主動防御機制會在以下3種情況中被觸發：

（1）空號率觸發安全機制：

當用戶請求發送的手機號碼空號率達到一定的百分比之后，觸發防御機制；

（2）手機號碼高頻率請求觸發安全機制：

當單個手機號高頻率的請求驗證碼時，到達一定比例，觸發防御機制；

（3）歷史黑名單命中率觸發安全機制：

當命中歷史黑名單到達一定比例時，觸發防御機制；

手機驗證碼短信接口主動防御機制被觸發后，將會自動設置合適的安全級別，防御惡意請求。例如非法請求僅能獲取3次驗證碼，如超過3次，將會被列入臨時保護黑名單。