短信驗證碼圖形識別
時間:2015-09-01
來源:未知
作者:admin
目前����,網(wǎng)頁短信驗證碼存在大量惡意攻擊�,有不法軟件開發(fā)人員��,使用搜索引擎批量導(dǎo)入未添加“圖形識別碼”的注冊網(wǎng)址���。不法分子將“手機轟炸器”軟件打包銷售或免費提供給網(wǎng)友�,網(wǎng)友使用該軟件惡意攻擊他人手機號����,達到其騷擾對方造成對方無法正常使用手機的目的。
圖形識別驗證碼的作用 :
1���、保護短信帳號的條數(shù)����。
2��、防止因為被不法分子利用而引起的用戶投訴
3���、短信發(fā)送安全���。
說明:根據(jù)多年經(jīng)驗,個別客戶使用一個號碼一天只允許獲取一次也是無法防范的���,曾有客戶限制次數(shù)后一天被刷掉數(shù)十萬條短信數(shù)的事情���。原因是由于短信攻擊軟件,有大范圍大批量的盲發(fā)功能�����,將導(dǎo)致任何獲取驗證碼“次數(shù)限制”均失效��。
短信驗證圖形識別碼添加說明及示例
1����、根據(jù)國家相關(guān)政策,要求不具備防范惡意攻擊軟件的短信使用單位/個人����,必須具備防范、防止及有效避免騷擾用戶的辦法�,運營商應(yīng)積極響應(yīng)用戶拒收騷擾短信的要求。
2���、針對驗證碼���、找回密碼���、重置密碼等功能,必須要求用戶先“輸入圖形識別碼”�����,然后“再獲取短信檢驗”��。
3���、推薦使用以下方式添加“圖形識別碼”防范垃圾短信����。
圖形識別碼示例一:
http://www.aocmonitor.com.cn/register/
圖形識別五步機制:
1)生成圖形識別碼�。
2)產(chǎn)生與圖形文字對應(yīng)的 session 變量。
3)判斷用戶輸入的字符是否與圖形識別碼 session變量匹配�。
4)輸入正確圖形識別碼后,允許點擊“獲取短信驗證碼” �。
5)點擊獲取驗證碼按鈕后,在 POST/GET 的目標(biāo)效驗頁面�,再次判斷圖形 session變量是否正確或存在,以避免惡意軟件繞過(Fiddler HTTP 抓包)圖形識別碼�,直接調(diào)用短信發(fā)送接口實現(xiàn)攻擊。
京公網(wǎng)安備 11010502050532號
