现在的登录一般都采用手机号+验证码进行注册,登录。
容易被攻击的接口:注册时用户输入号码就可直接触发短信!最容易被短信轰炸机利用,只要网站被搜索引擎收录,短信轰炸机就很容易检索到注册页面。的
防止攻击的集中常见做法,
1、请求短信验证码接口的时候加上图形验证码,只有正确输入图形验证码,才发送请求,这是现在互联网公司最常用的做法
2、流程验证,用户在注册完毕获得用户名和密码之后,才请求短信验证码接口,这个不常用
3、要求录入一大堆注册数据,然后才请求短信验证码接口,这种在PC端好用,移动端不建议这样使用
4、服务器设置同一个号码连续请求的时间间隔,比如120秒种发一次
5、IP,移动设备名,进行限制,一个ip或者设备一天只能请求多少次
6、限制同一个手机号每天请求的次数
一般最常用的方法是1+6,这样基本可以解决恶意访问短信接口的问题!