1、短信驗(yàn)證碼是什么？

1.短信驗(yàn)證碼是什么：

短信驗(yàn)證碼是通過(guò)發(fā)送驗(yàn)證碼到手機(jī)的一種有效的驗(yàn)證碼系統(tǒng)。

某些驗(yàn)證碼接入商提供手機(jī)短信驗(yàn)證碼服務(wù)，各網(wǎng)站通過(guò)接口發(fā)送請(qǐng)求到接入商的服務(wù)器，服務(wù)器發(fā)送隨機(jī)數(shù)字或字母到手機(jī)中，由接入商的服務(wù)器統(tǒng)一做驗(yàn)證碼的驗(yàn)證。

通俗點(diǎn)講呢就是在一些網(wǎng)站或者app上給你輸入的手機(jī)號(hào)發(fā)送一條帶有數(shù)字或字母驗(yàn)證碼的短信。比如你在登陸某個(gè)app的時(shí)候就可以通過(guò)短信驗(yàn)證碼來(lái)登陸。

2.短信驗(yàn)證碼的適用場(chǎng)景有哪些：

1、注冊(cè)驗(yàn)證

注冊(cè)驗(yàn)證是短信驗(yàn)證碼最常見(jiàn)的應(yīng)用場(chǎng)景。在注冊(cè)的過(guò)程中，客戶按照系統(tǒng)要求輸入手機(jī)號(hào)碼，系統(tǒng)會(huì)將動(dòng)態(tài)驗(yàn)證碼發(fā)送到給該手機(jī)號(hào)碼，用戶收到驗(yàn)證碼后，將驗(yàn)證碼數(shù)字按要求輸入指定位置，完成注冊(cè)驗(yàn)證。能夠有效的防止惡意注冊(cè)和重復(fù)注冊(cè)。

2、信息變更

系統(tǒng)用戶在修改密碼、手機(jī)號(hào)等個(gè)人賬戶信息時(shí)，為了確保為賬戶戶主本人操作，保障用戶的信息和財(cái)產(chǎn)安全，系統(tǒng)會(huì)要求必須經(jīng)過(guò)短信驗(yàn)證才能進(jìn)行修改。比如銀行系統(tǒng)，在進(jìn)入個(gè)人賬戶頁(yè)面查看個(gè)人信息時(shí)，都必須經(jīng)過(guò)驗(yàn)證才能打開(kāi)相關(guān)頁(yè)面。

3、找回密碼

為了賬戶安全，用戶大多會(huì)給賬戶設(shè)置較為復(fù)雜的密碼，也有一些系統(tǒng)會(huì)給密碼的安全等級(jí)分級(jí)，以此督促用戶設(shè)置更為復(fù)雜的密碼來(lái)保障賬戶的安全。然而，越是復(fù)雜就越容易遺忘。雖然現(xiàn)在很多瀏覽器和手機(jī)系統(tǒng)都有記錄密碼自動(dòng)登錄的功能，但是這種記錄都是存在時(shí)限的，一旦超過(guò)時(shí)限，仍然需要手動(dòng)輸入密碼，對(duì)于這種情況，因?yàn)椴怀Ｓ洃?，往往更容易遺忘。在加入手機(jī)驗(yàn)證碼功能后，只需要向綁定的手機(jī)號(hào)碼發(fā)送驗(yàn)證碼短信，獲取驗(yàn)證碼就能成功修改密碼，操作簡(jiǎn)單、快速。

4、動(dòng)態(tài)登錄

現(xiàn)在很多安全性要求比較高或盜號(hào)比較嚴(yán)重的網(wǎng)站，在登錄時(shí)都會(huì)要求進(jìn)行動(dòng)態(tài)驗(yàn)證登錄，即每次登錄系統(tǒng)時(shí)，都需要從系統(tǒng)獲取驗(yàn)證碼短信，輸入正確的驗(yàn)證碼才能進(jìn)入系統(tǒng)。前者如聯(lián)通、移動(dòng)、電信三大運(yùn)營(yíng)商的應(yīng)用APP。后者如各類大型游戲網(wǎng)站，因大型游戲網(wǎng)站中的角色財(cái)富甚至角色本身都能通過(guò)某些操作換取現(xiàn)金，是許多通過(guò)盜號(hào)竊取財(cái)富的犯罪分子的首選。

以上就是短信驗(yàn)證碼在各大網(wǎng)站系統(tǒng)最常見(jiàn)的四種應(yīng)用場(chǎng)景。除此以外，短信驗(yàn)證碼在網(wǎng)絡(luò)投票、問(wèn)卷調(diào)查、抽獎(jiǎng)互動(dòng)等需要保障一人一票的特殊場(chǎng)景中，也起到了重要作用。

2、為什么要對(duì)短信驗(yàn)證碼進(jìn)行防護(hù)？

短信驗(yàn)證碼作為APP和網(wǎng)站最基礎(chǔ)的需求，時(shí)常會(huì)被黑客惡意利用和進(jìn)行短信轟炸。具體出現(xiàn)的狀況，請(qǐng)看下面的截圖（圖片來(lái)自互聯(lián)網(wǎng)）

如果短信驗(yàn)證碼接口和頁(yè)面不做任何限制，黑客很容易利用一些惡意的短信轟炸軟件對(duì)接口進(jìn)行攻擊，不停的對(duì)同一個(gè)號(hào)碼或者N個(gè)號(hào)碼重復(fù)發(fā)送驗(yàn)證碼短信。

短信驗(yàn)證碼被攻擊，不僅會(huì)對(duì)用戶造成騷擾，引起投訴，更會(huì)浪費(fèi)你的短信余額，降低品牌形象。如果做好短信接口防護(hù)，一旦被攻擊，將面臨的是眾多不必要的損失。

3、有哪些常見(jiàn)的防護(hù)手段？

在介紹防護(hù)手段前我們需要了解下常見(jiàn)的刷短信驗(yàn)證的行為。

1.以攻擊手機(jī)號(hào)為目的刷短信驗(yàn)證碼

這類攻擊目標(biāo)主要是攻擊者借助web網(wǎng)站短信接口對(duì)目標(biāo)手機(jī)號(hào)進(jìn)行短信轟炸。攻擊者會(huì)先收集互聯(lián)網(wǎng)上多個(gè)未經(jīng)防護(hù)的網(wǎng)站短信接口，設(shè)定要攻擊的手機(jī)號(hào)碼通過(guò)模擬用戶，循環(huán)向后臺(tái)發(fā)送短信驗(yàn)證碼請(qǐng)求，達(dá)到攻擊手機(jī)號(hào)的目的。對(duì)于這類攻擊一般不會(huì)再同一網(wǎng)站平凡發(fā)送，通過(guò)一般防護(hù)手段即可達(dá)到防護(hù)目的。

2.以惡意刷取目標(biāo)網(wǎng)站短信費(fèi)用為目的的攻擊

這類攻擊主要目的是刷掉目標(biāo)網(wǎng)站的短信費(fèi)用，在第一種基礎(chǔ)上攻擊者會(huì)不停變換各種接口參數(shù)如手機(jī)號(hào)、IP（采用高匿代理）等去請(qǐng)求后臺(tái)發(fā)送短信驗(yàn)證碼，進(jìn)行惡意刷短信，后臺(tái)根本無(wú)力辨別用戶真?zhèn)巍９裟繕?biāo)明確，難以防護(hù)，因其變換不同IP、手機(jī)號(hào)，一些簡(jiǎn)單措施基本失效，產(chǎn)品設(shè)計(jì)人員在前期產(chǎn)品設(shè)計(jì)時(shí)尤其需要注意這類攻擊。

下面是針對(duì)攻擊者做出的一些常見(jiàn)的應(yīng)對(duì)措施。

1.增加前端驗(yàn)證碼

在獲取短信驗(yàn)證碼前增加圖文驗(yàn)證碼是較為常用的方法。攻擊者一般是采用自動(dòng)化攻擊，增加圖文驗(yàn)證碼后，攻擊者要對(duì)驗(yàn)證進(jìn)行識(shí)別驗(yàn)證成功后才能進(jìn)行模擬用戶發(fā)送請(qǐng)求。

常見(jiàn)的前端驗(yàn)證碼有以下幾種：

(1) 輸入類


(2) 滑動(dòng)類

(3) 點(diǎn)擊類

2.對(duì)單個(gè)手機(jī)號(hào)請(qǐng)求限制

對(duì)單個(gè)手機(jī)號(hào)進(jìn)行單日接收次數(shù)的限制，可以防止單個(gè)手機(jī)號(hào)無(wú)限制刷短信，同時(shí)設(shè)置時(shí)間間隔可以有效，防止人工刷票。短信接收次數(shù)可以根據(jù)平臺(tái)特點(diǎn)進(jìn)行限制，一般日接受驗(yàn)證碼次數(shù)為10次左右；同一號(hào)碼發(fā)送時(shí)間間隔通常為60秒，前后端必須保持一致。

3.對(duì)單個(gè)IP請(qǐng)求限制

對(duì)單IP最大發(fā)送量進(jìn)行限制，可以有效防止單一IP下多手機(jī)號(hào)被刷的問(wèn)題。最大發(fā)送量限制是防止惡意攻擊者同IP下不同手機(jī)號(hào)進(jìn)行刷短信驗(yàn)證碼行為。根據(jù)平臺(tái)實(shí)際情況設(shè)計(jì)一個(gè)短信最大發(fā)送量的閥值，超過(guò)閥值將不予返回短信。

4.對(duì)手機(jī)號(hào)碼真實(shí)性限制

檢測(cè)輸入手機(jī)號(hào)碼的有效性，屏蔽無(wú)效和非法的手機(jī)號(hào)碼。

5.對(duì)傳出參數(shù)進(jìn)行加密限制

通過(guò)對(duì)傳向服務(wù)器各項(xiàng)參數(shù)進(jìn)行加密，到了服務(wù)器再進(jìn)行解密，同時(shí)用token作為唯一性識(shí)別驗(yàn)證，后臺(tái)寫(xiě)一個(gè)算法將token注入到前端，然后前端可以通過(guò)相應(yīng)的規(guī)則獲取到token，在發(fā)送短信驗(yàn)證請(qǐng)求接口數(shù)據(jù)時(shí)帶上token，在后端對(duì)token進(jìn)行驗(yàn)證，驗(yàn)證通過(guò)才能正常將短信發(fā)送。

4、這些防護(hù)手段有沒(méi)有用呢，到底該如何選擇？

1.第一種方法最為常見(jiàn)，可以有效提升攻擊者的攻擊成本，但同時(shí)也需要考慮到用戶體驗(yàn)。對(duì)于第一種攻擊手段來(lái)講，攻擊者一般都會(huì)直接放棄這種網(wǎng)站，但是也難免碰到頭鐵的非要將你的網(wǎng)站拉入他的轟炸網(wǎng)站庫(kù)中，畢竟打碼平臺(tái)相當(dāng)便宜。如果碰到第二種攻擊則相當(dāng)于徒勞。

2.第二種到第五種方法可以同時(shí)結(jié)合使用，也可以結(jié)合第一種方法使用。不過(guò)大多數(shù)情況是好多人只用了第一種方法就以為能高枕無(wú)憂了，卻不知道早已被人破解。加上后幾種方式可以在某些方面有效提高防護(hù)有效性。

這個(gè)時(shí)候有人就說(shuō)了，發(fā)個(gè)短信驗(yàn)證么還要搞這么多事情，煩死了。

有人問(wèn)，博主除了這些還有沒(méi)有更好的辦法來(lái)解決這個(gè)問(wèn)題呢？有沒(méi)有不需要我寫(xiě)那么多代碼就能防護(hù)好短信不被盜刷的？

答案當(dāng)然是有了。

有人已經(jīng)開(kāi)發(fā)好了一款專門(mén)兒為防護(hù)短信驗(yàn)證碼的短信防火墻，它能夠?qū)崟r(shí)有效的防護(hù)每一條短信。攔截大多數(shù)惡意攻擊請(qǐng)求。

那么有人就說(shuō)了，這個(gè)短信防火墻跟上面這些有啥不一樣的，莫不是就把上面這些整一塊了吧？

當(dāng)然不是啦，這款短信防火墻是按照支付風(fēng)控標(biāo)準(zhǔn)實(shí)施打造的一款安全防火墻。他還有以下幾方面的特點(diǎn)。

1. 區(qū)分正常用戶請(qǐng)求和模擬器自動(dòng)攻擊腳本請(qǐng)求。對(duì)模擬器腳本攻擊實(shí)施攔截。

2. 能夠區(qū)分每臺(tái)設(shè)備，對(duì)設(shè)備施加防護(hù)策略。在受到攻擊時(shí)只對(duì)攻擊者設(shè)備進(jìn)行攔截，正常用戶設(shè)備則不收影響。

3. 能夠區(qū)分新老用戶，在受到攻擊時(shí)也能夠確保老用戶的業(yè)務(wù)不受任何影響

說(shuō)點(diǎn)兒實(shí)在的，就是你不管怎么著防吧，就是不需要你來(lái)考慮了，不需要想那么多，也不需要寫(xiě)那么多代碼，開(kāi)心就完了。

下面是我自己測(cè)試的一個(gè)效果圖：