由于最近有一些客戶反映���,自己的網(wǎng)站受到了短信炸彈攻擊����,苦不堪言。我經(jīng)過(guò)代碼分析��,發(fā)現(xiàn)是由于客戶在使用短信接口時(shí)��,由于在短信發(fā)送接口上����,沒(méi)有做好必要的安全防范措施�,導(dǎo)致一些不法之徒利用漏洞,對(duì)網(wǎng)站發(fā)起攻擊。最終導(dǎo)致客戶自己的短信條數(shù)受到損失��。
所以我決定寫這一系列的文章�,來(lái)通過(guò)添加圖形驗(yàn)證碼,以及其他限制手段,來(lái)達(dá)到防范短信接口被攻擊的目的�����。演示案例使用的短信接口是短信寶的接口http://www.gjrencai.com���,短信寶這家短信企業(yè)還是非常不錯(cuò)的�����,公司也一直在用他們的短信產(chǎn)品。
我們進(jìn)入正題,首先我先說(shuō)一下這一系列教程的篇章,我會(huì)通過(guò)熱身篇,準(zhǔn)備篇��,制作圖形驗(yàn)證碼篇�,后短篇,前端篇,以循序漸進(jìn)的方式�,詳細(xì)的闡述整個(gè)開發(fā)過(guò)程����。接下來(lái)我說(shuō)一下通過(guò)圖形驗(yàn)證碼��,以及其他的一些限制手段來(lái)做防范的原理:
圖形驗(yàn)證碼的作用:
圖形驗(yàn)證碼是最有效的防止某一個(gè)用戶�����,使用程序暴力發(fā)送請(qǐng)求,導(dǎo)致接口被不斷訪問(wèn)的手段����。因?yàn)樗菙?shù)字�,字母����,干擾線等隨機(jī)產(chǎn)生的一張圖片,用戶必須輸入匹配的內(nèi)容�,才能發(fā)送請(qǐng)求�����。攻擊者需要通過(guò)程序來(lái)分析圖片中的內(nèi)容,才能得到正確的信息��,這是非常難做到的���。
限制發(fā)送請(qǐng)求的時(shí)間間隔:
當(dāng)一次短信請(qǐng)求成功后以后��,需要有一個(gè)時(shí)間間隔的過(guò)渡�����,才能發(fā)送第二次請(qǐng)求,在頁(yè)面呈現(xiàn)倒計(jì)時(shí)的狀態(tài)����。使用數(shù)據(jù)庫(kù)記錄上一次請(qǐng)求的時(shí)間��,當(dāng)發(fā)送下一次請(qǐng)求時(shí),程序會(huì)從數(shù)據(jù)庫(kù)中取出上次請(qǐng)求的時(shí)間����,來(lái)驗(yàn)證兩次請(qǐng)求的間隔是否達(dá)到設(shè)置的間隔時(shí)間�����,這樣有效的防止住了連續(xù)請(qǐng)求。
另外還有很多限制的手段:
如:設(shè)置同一個(gè)手機(jī)號(hào)碼一天內(nèi)只能接受3條同樣內(nèi)容的短信���,或者同一個(gè)ip地址一天之內(nèi)只能收到3條同樣內(nèi)容的短信等方式來(lái)做輔助的限制。
好了�,熱身講解就到這里����,小伙伴們一定等不及了吧����,后面的文章就進(jìn)入正題,跟著我來(lái)一次生動(dòng)的開發(fā)之旅�。
