短信接口被不停的调用

lizhengqin 2017-11-07 09:45:10

我查看了IIS日志，通过软件直接请求短信接口，虽然已经被拦截，但是每天都有大量的日志文件，而且每次请求的IP地址不一样，手机号码不一样

...全文

863 16 打赏收藏转发到动态举报

写回复

16 条回复

切换为时间正序

请发表友善的回复…

发表回复

duyunnan 2021-06-16

打赏
举报

回复

说加验证码，加token，都是一些马后炮，有的APP都已经上线，不是你想改就能改的，针对那些通过代理每次访问都是不同IP不同手机号码是有一个办法可以限制的，但是没办法阻止他们继续调用，方法就在下面

Uri Url = HttpContext.Current.Request.UrlReferrer;
if (Url != null) {//只要判断调用短信发送接口这个页面前有一个页面就是攻击，正常自己的程序都是直接调用接口
context.Response.Write("{\"status\":0, \"msg\":\"验证码已经超过限制，请稍后在试！\"}");
return;
}

大然然 2017-11-15

打赏
举报

回复

和我以前单位遇见的一样，短信接口被破解，被人不停的刷，每天下来几十万短息，不得了后来后台加上了验证，每个IP每天只能发N条，每小时之内只能发M条，前台也加上了图形验证码，就OK了

ying1234 2017-11-13

打赏
举报

回复

我也遇到过这样的问题，发短信用的是第三方的发短信接口，注册时用，再好的防范措施都没有用的，时间长了，就有人就找到新的方法来刷，用户完全能做到用程序模拟正常用户的操作来发短信，刷注册。你很难防。而且对于刷短信来说，针对手机号来限制发短信次数是没有用的，有生成手机号的工具，可以接收到短信验证码，我们用的第三方接口的后台就有这功能（当然我们用只是测试用），后来改成语音验证码就好多了。建议你也可以试试，也可以增加一个拖动验证码，不验证通过，不给发短信或语音，拖动验证码我们也用的是第三方的，根据ip来限制也是没有用的，用户可以不停地换ip.你只能尽量增加用户刷的难度。

xwbb123 2017-11-13

打赏
举报

回复

很多的大神呢！！！

大鱼> 2017-11-13

打赏
举报

回复

这样的情况最简单有效的方法就是加验证。

兔子家族-二哥 2017-11-13

打赏
举报

回复

看完了才找到我觉得LZ现在应该做的 11L 正解。拖动验证或者加个验证码，通过了就发短信。

许晨辰 2017-11-07

打赏
举报

回复

IP白名单，绑定自己服务的IP地址！

peng2739956 2017-11-07

打赏
举报

回复

加验证啊，token,秘钥之内的。现在很多短信轰炸机就是调用网上的一些短信接口进行短信轰炸我之前也做过一个。比如说注册接口的话，你在头部带上一些特有东西防止这类事情的发生

好大一地嗯 2017-11-07

打赏
举报

回复

没别的方法，这种公开在外网的服务，就需要加上鉴权类信息，不能任何人只要知道接口就能用。接口和客户端增加鉴权握手，或者信息传输加密，服务器如果解密失败就不管了，频率限制，另外，也说不定，你们公司业务就是这么忙

lizhengqin 2017-11-07

打赏
举报

回复

引用 4 楼 sp1234 的回复:

应该设计为只允许你自己的业务服务器（作为client端）请求，不允许其它客户端请求。

我前面说错了，截图的地址就是我们客户端地址。短信接口，只允许公司几台业务服务器访问，现在恶意调用客户端的地址，每天都记录大量的日志

娃都会打酱油了 2017-11-07

打赏
举报

回复

业务上进行判断，同样手机号码在同一天（一段时间内）最大允许发送次数

以专业开发人员为伍 2017-11-07

打赏
举报

回复

应该设计为只允许你自己的业务服务器（作为client端）请求，不允许其它客户端请求。

lizhengqin 2017-11-07

打赏
举报

回复

引用 2 楼 starfd 的回复:

加签名加token加验证，加各种东西……

我的意思是说，造成大量的Http请求了，有没有办法避免？

娃都会打酱油了 2017-11-07

打赏
举报

回复

加签名加token加验证，加各种东西……

xdashewan 2017-11-07

打赏
举报

回复

是登录还是注册？注册现在有些网站都改成用户发指定短信到指定号码了，比如腾讯就是让用户发送zc12（数字可变），到xxxxx号码完成注册如果是登录，现在不都流行那啥，扫码登录嘛

正怒月神版主 2017-11-07

打赏
举报

回复

你可以通过管道事件限制ip访问次数，或者访问间隔然后在通过token筛选有效请求。

蚂蚁分类信息系统是分类信息源码里值得推荐的一款，源码包含四色模板（蓝、绿、橙、红）、3种风格（分类、门户、行业），并含有WAP端，推荐做本地分类信息类站点使用。MayiCMS功能简介：1，整合在线支付接口如支付宝，财付通，网银支付/京东钱包接口。2，支持手机端支付宝在线充值3，支持手机端微信在线充值4，支持微信登录，微信公众号绑定5，支持手机发送验证码6，手机信息列表展示·无分页上拉刷新7，负载强，易维护，易拓展，程序和模板完全分离8，增加百度提交网站地图索引文件sitemap.xml的功能9，支持QQ一键登录10，会员注册发布信息IP及地域限制：可限制注册会员及发布信息所在地11，可限时分类置顶以及首页置顶（包括手机版），会员可自行操作，扣除的金币数也可在后台设置。12，可自助对信息进行刷新操作（包括手机版），扣除的金币数也可在后台设置。13，整合地图标注接口设置（包括 baidu，51ditu，google地图）14，后台可以设置各种类型的网站广告，并且可设置不同页面显示不同的广告15，分类信息栏目支持多级分类，可对指定栏目进行多级细分16，支持所有分类栏目自定义拼音伪静态规则，如http://demo1.mayicms.com/fang/17，支持站内和站外双重调用，后台可按自定义条件生成调用代码，实现在任意网页自由调用网站信息18，系统安装后自带有团购，新闻，商品，优惠券等功能插件，可在后台按需开启或关闭19，各栏目分类信息模型选项字段完全自定义，支持价格等数字输入型字段检索20，可限制信息发布者的手机号21，可设置不同分类的信息查看联系方式需要登录或者需要付费22，不同栏目分类和信息介绍页可设置使用不同的模板23，蚂蚁蓝，赶集绿，58橙，天猫红四种颜色主题自由切换（包括手机版）24，数据和网页双重缓存，在缓存数据的基础之上增加支持网页整体缓存功能25，微信等各类小程序和APP支持环境要求：php5.4 + mysql5 + zend安装步骤：1，将程序文件上传至服务器空间上（LINUX服务器注意二进制上传）2，在浏览器执行 http://你的域名/install/index.php 进入安装蚂蚁分类信息系统5.9最新版升级说明：1，PC前端模板增加悬浮QQ客服,微信客服图标的显示2，修正当个人会员升级为机构会员后级别变成新手上路的问题3，后台首页增加审核机制，方便审核所有网站的信息，会员，新闻，友情链接等模块内容4，会员中心首页增加不同等级会员的权限对照表，一目了然，5，PC端首页和列表页模板增加格子类型模板风格6，增加手机信息页以及商家页分享微信分享朋友圈的功能7，信息分类列表页的标题改进8，修正手机版里输入框检测重复时，窗口不停弹出无法关闭的BUG9，修正违禁词语出现后信息不自动转待审的问题10，增加手机端找回用户密码的功能11，手机号增加14，16，19等新号段支持12，增加手机版分类信息的前端举报和收藏功能13，修正部分主机环境下支付宝支付充值成功但未实际到帐的BUG14，修正新闻的数据调用排序错误的BUG15，修复部分主机环境下微信支付漏洞16，增加手机端会员自助升级会员组的功能17，改进部分主机环境下IP识别不准确的BUG18，修正部分主机环境下短信发送漏洞19，修正手机安卓系统中操作首页，主图标下拉手势自动触发链接的BUG20，百度标注地图标注优化，增加地址检索的功能21，修复部分主机环境下用户中心SQL注入漏洞22，改进IP地址识别代码，精确度提升至99.99#，商家增加营业时间功能设置24，增加微信登录/QQ登录的用户需要手机实名认证才能发信息的功能25，手机版首页和列表页改进为无分页上拉刷新效果26，手机版发布界面体验改进27，手机版全面支持URL伪静态28，手机版首页增加微信二维码客服，公众号订阅显示，方便微信用户订阅，增加用户黏性29，手机版修正部分主机环境下分享不显示图标和内容的BUG30，手机版首页和信息列表页的信息增加点赞和收藏功能31，手机版模板全新风格全新设计32，支持完整全套微信支付接口（增加微信扫码支付，微信手机H5支付，不再局限必须手机微信内部访问才可以支付）33，全新的用户中心模板模板设计34，增加短信宝短信接口通道支持35，商家功能改进36，增加百度提交网站地图索引文件sitemap.xml的功能37，增加支持APP封装38，增加支持微信小程序39，修复微信扫码登录在PC端，IE等浏览器模式下不能正常登录的BUG40，增加后台分类信息修改浏览次数的功能41，会员中心全面升级改进，用户体验更好更方便42，不同会员组增加每天信息发布数量上限，信息发布总数上限，机构文章发布上限，相册上传上限的功能43，多城市版改进后台的分站下拉框筛选形式，操作更为人性化更为简便

-- “隐患险于明火，防范胜于救灾，责任重于泰山” 上周三早上接到Z项目组小伙伴的求助：短信发送接口被恶意调用了，注册验证码短信在不停被发送，短信平台已经封了我们的发送通道，调用方还在孜孜不倦地调用接口，怎么搞？ Z项目是三年前进行的第一版上线，三年来一直由我们的小伙伴做更新与维护。这个问题出现后，赶紧回顾项目的相关内容。一、回顾项目 Z项目在三年前初始上线，当时主要用户为公司内部人员，...

短信API接口开发，这个还是一个比较使用和酷炫的功能。本课程通过thinkphp5开发了一个完整的收发短信的示例。核心主要是跨域访问api接口，然后... 短信接口要注意号码的发送次数验证，防止恶意调用，浪费短信费用。

1.什么是短信轰炸 hacker不停调用系统发送短信的接口，造成短信使用量直线飙升 2.如何防范短信轰炸 1)防止hacker通过脚本等工具调用获取http请求url的referer，只有从系统域名链接过来的请求，才被认为是合法的。系统增加图形验证码，验证通过的说明是合法的。 2)增加单个电话号码发送条数限制如1个电话号码，一天只能发送4条，10分钟内不能重复发送等。 3)增加单个ip请求次...

目录前言1、短信验证码是什么？2、为什么要对短信验证码进行防护？3、有哪些常见的防护手段？4、这些防护手段有没有用呢，到底该如何选择？5、结语前言最近遇到一个关于防止短信验证码被刷的问题，相信很多朋友也遭遇过这个被刷短信的问题。因此，就“防止验证码短信被盗刷”作一个总结和分享。 1、短信验证码是什么？ 1.短信验证码是什么：短信验证码是通过发送验证码到手机的一种有效的验证码系统。某些验证码接入商提供手机短信验证码服务，各网站通过接口发送请求到接入商的服务器，服务器发送随机数字或字母到手机中，由接

62,046

社区成员

669,049

社区内容

发帖

与我相关

我的任务

javascript云原生企业社区

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见，支持健康理性的辩论和互动，反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。

试试用AI创作助手写篇文章吧

+ 用AI写文章