短信驗證碼作為重要的身份驗證工具，因其操作簡便、安全性高、時效性強等優(yōu)點已被開發(fā)人員廣泛使用。但因其獲取便利、限制較少容易被不法分子利用進行短信轟炸，惡意刷掉大量短信費用，給公司或個人造成大量的金錢損失，造成這種情況原因主要是在產(chǎn)品實際設(shè)計過程中，有些產(chǎn)品人員因為對技術(shù)實現(xiàn)不太了解，防范意識薄弱，簡單或直接忽略對短信驗證碼進行限制，這才造成短信接口惡意被不法分子利用。

在介紹防刷策略前我們需要了解下常見的刷短信驗證的行為。

1.以攻擊手機號為目的刷短信驗證碼

這類攻擊目標主要是攻擊者借助web網(wǎng)站短信接口對目標手機號進行短信轟炸。攻擊者會先收集互聯(lián)網(wǎng)上多個未經(jīng)防護的網(wǎng)站短信接口，設(shè)定要攻擊的手機號碼通過模擬用戶，循環(huán)向后臺發(fā)送短信驗證碼請求，達到攻擊手機號的目的。對于這類攻擊通過一般驗證碼設(shè)置即可達到防護目的。

2.以惡意刷取目標網(wǎng)站短信費用為目的的攻擊

這類攻擊主要目的是刷掉目標網(wǎng)站的短信費用，在第一種基礎(chǔ)上攻擊者會不停變換各種接口參數(shù)如手機號、IP（采用高匿代理）等去請求后臺發(fā)送短信驗證碼，進行惡意刷短信，后臺根本無力辨別用戶真?zhèn)?。攻擊目標明確，難以防護，因其變換不同IP、手機號，一些簡單措施基本失效，產(chǎn)品設(shè)計人員在前期產(chǎn)品設(shè)計時尤其需要注意這類攻擊。

下面是針對攻擊者做出的一些應對措施。

1.前端增加圖文驗證碼

在獲取短信驗證碼前增加圖文驗證碼是較為常用的方法。攻擊者一般是采用自動化攻擊，增加圖文驗證碼后，攻擊者要對驗證進行識別驗證成功后才能進行模擬用戶發(fā)送請求，這一步需要在頁面中進行，無法采用自動化攻擊。第一種攻擊基本上失效，同時會增加第二種的攻擊成本（有可能采用人工打碼方式進行驗證）選擇驗證碼時既要考慮用戶操作過程的流暢度，又應該考慮到安全度。

下圖是幾種常見的圖文驗證碼

2.限制單個手機號每日接收短信次數(shù)和時間間隔

對單個手機號進行日接收次數(shù)的限制，可以防止單個手機號無限制刷短信，同時設(shè)置時間間隔可以有效，防止人工刷票。短信接收次數(shù)可以根據(jù)平臺特點進行限制，一般日接受驗證碼次數(shù)為10次左右；同一號碼發(fā)送時間間隔通常為60秒，前后臺應保持一致，避免出現(xiàn)只前端做倒計時限制，后臺未做限制這種低級錯誤。

3.對IP進行限制

對單IP最大發(fā)送量進行限制，可以有效防止單一IP下多手機號被刷的問題。最大發(fā)送量限制是防止惡意攻擊者同IP下不同手機號進行刷短信驗證碼行為。根據(jù)平臺實際情況設(shè)計一個短信最大發(fā)送量的閥值，超過閥值將不予返回短信。

4.對注冊流程進行限定

一般來講常被攻擊的地方是注冊頁面，一般是從兩方面進行觸發(fā)流程的限定。

• 第一種，可以從前端寫入指令，只允許在官網(wǎng)主頁跳轉(zhuǎn)入注冊頁面；
• 第二種方法是對注冊流程進行分步，先進行賬戶密碼設(shè)置，設(shè)置成功后才可以再進行下一步的短信驗證。

因為增加前置條件，增加攻擊難度兩種方法都是能有效防止自動化攻擊，需要注意的是兩種方法對用戶體驗或多或少的影響，產(chǎn)品經(jīng)理需要結(jié)合自身平臺特點選擇。

5.對發(fā)送者進行唯一性識別

為了防止第二種惡意攻擊者通過修改傳向服務(wù)器各項參數(shù)，造成多IP多手機號刷短信驗證碼的行為，所以后臺應對前臺傳過來的參數(shù)進行驗證。方法一般是用token作為唯一性識別驗證，后臺寫一個算法將token注入到前端，然后前端可以通過相應的規(guī)則獲取到token，在發(fā)送短信驗證請求接口數(shù)據(jù)時帶上token，在后端對token進行驗證，驗證通過才能正常將短信發(fā)送。