從Web2.0到移動(dòng)互聯(lián)網(wǎng)時(shí)代后，越來越多的產(chǎn)品功能開始使用短信驗(yàn)證功能，注冊/登錄/密碼找回/支付.. ，可以說短信服務(wù)（接口）已經(jīng)成為最重要的技術(shù)基礎(chǔ)設(shè)施之一。也正是因?yàn)橹匾絹碓蕉嗟膼阂夤羰录_始圍繞著短信接口進(jìn)行，很多團(tuán)隊(duì)也因此踩過坑。所以，今天梳理一下常用的短信攻擊防范措施，供大家參考。

 一，身份驗(yàn)證

1. 圖形校驗(yàn)碼和手機(jī)驗(yàn)證碼進(jìn)行綁定，當(dāng)用戶輸入手機(jī)號(hào)碼以后，需要輸入圖形校驗(yàn)碼或者根據(jù)圖形進(jìn)行某種邏輯運(yùn)算（比如25 + 壹 = ？）才可以觸發(fā)短信，這樣能比較有效的防止軟件惡意點(diǎn)擊。

2. 觸點(diǎn)驗(yàn)證：讓用戶選擇某個(gè)指定的某些圖標(biāo)或文字，典型案例有12306火車售票，不過用戶體驗(yàn)會(huì)受到比較大的影響，效率和安全很多時(shí)候就是一對矛盾體。特別是要求選擇的物品比較奇葩的時(shí)候，在某種程度上“傷害”了最普通的用戶。-_-! 
3. 滑動(dòng)驗(yàn)證：目前越來越流行的方式，主要是通過鼠標(biāo)拖動(dòng)來實(shí)現(xiàn)驗(yàn)證，

對于普通的圖形驗(yàn)證碼容易被各種暴力機(jī)械破解，而滑動(dòng)驗(yàn)證只能監(jiān)聽鼠標(biāo)動(dòng)作，不能通過數(shù)據(jù)驗(yàn)證，達(dá)到防止機(jī)械破解的作用。

以上三種做法，都有現(xiàn)成的開源類庫作為參考，可以在上面根據(jù)自身的情況做二次開發(fā)。

二，業(yè)務(wù)流程限定

通過設(shè)定特定的業(yè)務(wù)流程來阻止攻擊腳本，比如以下兩個(gè)方案：

1. 將流程進(jìn)行一分為二，先進(jìn)行業(yè)務(wù)操作，再進(jìn)行短信驗(yàn)證。例如，將手機(jī)短信驗(yàn)證和用戶名注冊分成兩個(gè)步驟，用戶在注冊成功用戶名密碼后，下一步才進(jìn)行手機(jī)短信驗(yàn)證。簡單來說，拿不到新用戶的身份信息，短信是不會(huì)觸發(fā)成功的。

2. 必須填寫相關(guān)信息才能觸發(fā)短信，例如，用戶必須填寫好所有注冊信息才可進(jìn)行觸發(fā)，注冊資料不完整無法發(fā)送驗(yàn)證碼。

三，觸發(fā)限制

通過挖掘和限定非正常的用戶行為，對短信的觸發(fā)進(jìn)行管控，一般有以下三類做法：

1.  發(fā)送間隔設(shè)置，設(shè)置同一號(hào)碼重復(fù)發(fā)送的時(shí)間間隔，一般設(shè)置的間隔為60-120秒；

2.  觸發(fā)IP限定，設(shè)置每個(gè)IP每天的最大發(fā)送量；

3.  發(fā)送量限定，設(shè)置每個(gè)手機(jī)號(hào)碼每天的最大發(fā)送量；

除此之外，請?jiān)隍?yàn)證碼內(nèi)容加上退訂操作，如：回復(fù)TD拒收；退訂回復(fù)TD等相關(guān)內(nèi)容。當(dāng)非用戶觸發(fā)接收的短信，用戶回復(fù)TD以后，平臺(tái)將會(huì)將其列入拒發(fā)數(shù)據(jù)庫，將會(huì)停止對該號(hào)碼發(fā)送。