验证码短信接口安全防护方案

应用注册页面，如果接入了短信验证码功能， 都有可能会遇到恶意发送的情况，最严重的当属受到短信轰炸机的攻击。

什么是短信轰炸？

个别用户出于不正当目的，自己或者委托第三方使用“短信轰炸机软件短时间内在各应用页面（主要是注册页面）模拟输入被攻击者的手机号码，批量、循环提交请求，给一些手机号码无限发送各种无效短信（如短信验证码）的行为，导致接收短信的手机用户被骚扰。

短信轰炸带来的影响

1. 用户在无任何操作情况下，莫名收到大量短信验证码，对用户造成严重的骚扰；

2. 短信 验证码接口的客户，会被消耗大量的短信， 同时，短信是以短信验证码接口客户的名义发出的，会对企业的品牌形象造成负面影响；

3. 大量骚扰短信的发送，对短信通道及短信平台的稳定安全运行造成极恶劣的影响。

如何判断您的应用已被短信轰炸机轰炸

1. 您收到了短信供应商的微信短信预警通知；

2. 您应用的实际注册人数远小于消耗的短信验证码条数

3. 您通过短信验证码接口获取到大量短信被拦截的状态回执 。

如何有效防范短信轰炸

1、短信供应商云通信平台具有先进的短信发送判断机制 （已免费开放），动态感知每条短信的发送情况并实时判断风险性，对恶意发送进行有效拦截，能杜绝大多数的恶意发送。关注短信供应商官方微信公众号，可实时接收账户状态提醒。

2. 短信供应商云通信平台支持发送机制设置，包含：每号码每天的发送数量、每号码每分钟的发送数量、每天账户最大发送量等。

3. 增加图形验证与请求限制

a) 加上图形验证码强烈建议增加， 最有效防止加上足够复杂的图形验证码可有效防止恶意工具的自动化调用 即当用户进行“ 短信 验证码发送”操作前 , 弹出图形验证码，要求用户输入验证码后，服务器端再发送动态短信到用户手机上，该方法可有效解决被利用实施短信轰炸攻击的问题。

b) 加上极验验证码：较图形验证码，极验验证 码体验更加、安全系数更高，官方提供免费与付费服务，可根据平台情况自行选择。

c) 对验证码获取时间间隔做限制：一般要设置在 60 秒以上。