验证码的短信接口被人盗刷了...请问有没有预防办法?

hercules135 2015-10-10 04:38:09

如题...

本来想当然只做了一个 30秒内同一号码无法重复发送的判断,结果没想到10月2号的时候,别人用几百个号码楞刷掉我10万条短信

后来想想确实如此啊,就算30秒只能发一条,一天也能发2880条啊

哎,也不知道刷我短信为了啥

总之,先把url地址换了,加了判断,如果同一个号码一天之内发送20次,就连带号码和IP都拉黑...

但是我自己想想也觉得不靠谱,换号码换IP也不是很难

不知道大家是怎么防的呢?

...全文

4149 18 打赏收藏转发到动态举报

写回复

用AI写文章

18 条回复

切换为时间正序

请发表友善的回复…

发表回复

zuoliangzhu 2019-10-24

打赏
举报

防刷主要是防止机器刷，人工恶意点击毕竟是有限的，除非是吃饱了撑的。一是添加30秒或60秒的间隔限制，二是增加图形验证码，另外，还可以增加token或ip限制，可以综合应用，总之是增加盗刷的难度。推荐短信接口: http://smsow.zhenzikj.com/doc/sdk.html

道道道道友 2017-03-15

打赏
举报

讲道理除了加入不能被机器识别的验证码才能很好的防反，不然只能尽可能的在发送规则上做限制

qq_29405323 2016-09-28

打赏
举报

没有办法的,再怎么弄也只是会增加他盗刷的成本而已，别人不惜成本刷你，你只能硬抗，我们公司以前一个月就被刷了几十万RMB，抗到他自动放弃

baidu_35721149 2016-07-27

打赏
举报

1.短信发送间隔设置——设置同一号码重复发送的时间间隔，一般设置为60-120秒 2.IP限定——根据自己的业务特点，设置每个IP每天的最大发送量 3.手机号码限定——根据业务特点，设置每个手机号码每天的最大发送量 4.流程限定——将手机短信验证和用户名密码设置分成两个步骤，用户在设置成功用户名密码后，下一步才进行手机短信验证，并且需要在获取第一步成功的回执之后才可进行校验。 5.绑定图型校验码——将图形校验码和手机验证码进行绑定，这样能比较有效的防止软件恶意注册。邦之信·中国（www.bonzson.net）在短信行业深耕潜研六年，率先推出行业内标杆产品“5秒到”。未来三年将垂直于移动互联网APP短信验证码产品。作为最顶尖的验证码短信通道供应商，邦之信坚持为移动互联网提供更好的用户体验。“五秒到”不仅仅是一款产品，更是一个行业变革的方向。邦之信短信验证码“五秒到”推出，行业新标杆由此诞生。今天，记录由邦之信创造，明天，我们一起创造新突破！

gengchenhui 2015-10-14

打赏
举报

说不定就是你的运营商给你刷走了，我们当初被刷的时候就怀疑是服务提供商自己刷走了，就是为了让你继续买更多的短信。

以专业开发人员为伍 2015-10-14

打赏
举报

引用 9 楼 hercules135 的回复:

主要是要验证手机所以拖动的验证码无法取代这个东西...不过还是谢谢这个东西一开始在别的网站上看到,就觉得很有意思这次可以自己做做看了

而且你要是做这个的软件公司，你也会去让你的程序员去“别人用几百个号码楞刷掉我10万条短信”了。

hercules135 2015-10-14

打赏
举报

引用 11 楼 sp1234 的回复:

[quote=引用楼主 hercules135 的回复:]
但是我自己想想也觉得不靠谱,换号码换IP也不是很难

你觉得的不很难，那就自己试试呗。[/quote]

哦?看这个意思是很难咯?那我就放心了...

hercules135 2015-10-14

打赏
举报

引用 5 楼 wjfwd2010 的回复:

[quote=引用 4 楼 hercules135 的回复:]
[quote=引用 3 楼 liuqian4243 的回复:]
[quote=引用 2 楼 liuqian4243 的回复:]
业务定得有问题吧,
什么情况下给用户发短信这个规则改下,
不产生效益,或效益小于短信成本的,就不再发短信

这样的话,用户主动发一次,就得付超过短信成本的资金,对方也就不会再发了.[/quote]

注册用户还好说,现在盗刷的就是注册时候的手机验证码...

我后来想了一下,前端做过30秒判断,如果有用户跳过前端验证直接在30秒内调用端口发送短信,就是恶意攻击,直接拉黑...[/quote]
前端做判断有个鸟用啊，大哥，要在后端判断。服了。[/quote]

前后端都有判断

如果有人跳过了前端的判断直接进到后端就可以说明是恶意攻击,我是这个意思

以专业开发人员为伍 2015-10-14

打赏
举报

引用楼主 hercules135 的回复:

但是我自己想想也觉得不靠谱,换号码换IP也不是很难

你觉得的不很难，那就自己试试呗。

hercules135 2015-10-14

打赏
举报

引用 7 楼 ajianchina 的回复:

如果你们不是同一个人，我也给你推荐一下：
http://www.geetest.com/
免费使用，必须鼠标拖行的验证码，直接集成到你网站上，人工手动操作后才能进行短信发送。
我不是做广告啊，提供这种验证服务的也不是这一家，这是免费的。

主要是要验证手机所以拖动的验证码无法取代这个东西...不过还是谢谢这个东西一开始在别的网站上看到,就觉得很有意思这次可以自己做做看了

hercules135 2015-10-14

打赏
举报

引用 6 楼 shingoscar 的回复:

你们是同一个人吗？[
http://bbs.csdn.net/topics/391840303

看来这几天事件频发啊...我们不是同一人...现在已经加了规则了,封IP,还换了接口名称,和一些其他过滤规则,

ajianchina 2015-10-10

打赏
举报

如果你们不是同一个人，我也给你推荐一下： http://www.geetest.com/ 免费使用，必须鼠标拖行的验证码，直接集成到你网站上，人工手动操作后才能进行短信发送。我不是做广告啊，提供这种验证服务的也不是这一家，这是免费的。

Poopaye 2015-10-10

打赏
举报

你们是同一个人吗？[
http://bbs.csdn.net/topics/391840303

风吹腚腚凉 2015-10-10

打赏
举报

引用 4 楼 hercules135 的回复:

[quote=引用 3 楼 liuqian4243 的回复:] [quote=引用 2 楼 liuqian4243 的回复:] 业务定得有问题吧, 什么情况下给用户发短信这个规则改下, 不产生效益,或效益小于短信成本的,就不再发短信

这样的话,用户主动发一次,就得付超过短信成本的资金,对方也就不会再发了.[/quote] 注册用户还好说,现在盗刷的就是注册时候的手机验证码... 我后来想了一下,前端做过30秒判断,如果有用户跳过前端验证直接在30秒内调用端口发送短信,就是恶意攻击,直接拉黑...[/quote] 前端做判断有个鸟用啊，大哥，要在后端判断。服了。

hercules135 2015-10-10