會(huì)員注冊頁面如何防刷

網(wǎng)站的會(huì)員注冊頁面暴露在網(wǎng)絡(luò)中，無需任何認(rèn)證即可訪問，這給了一些短信轟炸機(jī)可趁之機(jī)，此類軟件可以持續(xù)性高并發(fā)的請求獲取驗(yàn)證碼功能，如果注冊頁面未做有效防范的話，會(huì)導(dǎo)致企業(yè)的短信賬戶大量被刷，造成企業(yè)形象及資金損失。

那短信驗(yàn)證碼防刷策略如何做呢？首先我們來了解一下短信接口攻擊：

什么是短信接口攻擊？
個(gè)別用戶出于不正當(dāng)目的，自己或者委托第三方使用 “短信接口轟炸軟件”，短時(shí)間內(nèi)在各應(yīng)用頁面（主要是注冊頁面）模擬輸入被攻擊者的手機(jī)號(hào)碼，批量、循環(huán)提交請求，給一些手機(jī)號(hào)碼無限發(fā)送各種無效短信（如短信驗(yàn)證碼）的行為，導(dǎo)致無辜的手機(jī)用戶被騷擾。

短信接口攻擊帶來的影響
1、用戶在無任何操作情況下，莫名收到大量短信驗(yàn)證碼，對用戶造成嚴(yán)重的騷擾；
2、使用短信驗(yàn)證碼接口的用戶，會(huì)被消耗大量的短信，同時(shí)，短信是以短信驗(yàn)證碼接口客戶的名義發(fā)出的，會(huì)對企業(yè)的品牌形象造成負(fù)面影響；
3、大量騷擾短信的發(fā)送，對短信通道及短信平臺(tái)服務(wù)商的穩(wěn)定安全運(yùn)行造成極惡劣的影響。

如何有效防范短信接口攻擊？
基于短信接口攻擊的一些特點(diǎn)，我們有必要采用適當(dāng)?shù)亩绦膨?yàn)證碼防刷策略，來降低甚至杜絕短信接口攻擊軟件對我們的影響，短信接口防御一般有以下一些措施：

1、思銳短信平臺(tái)攔截
思銳云通信平臺(tái)會(huì)實(shí)時(shí)偵測對客戶通過接口提交的每條短信，對惡意發(fā)送進(jìn)行有效識(shí)別與攔截，能杜絕大多數(shù)的惡意發(fā)送。關(guān)注思銳官方微信公眾號(hào)，可實(shí)時(shí)接收賬戶狀態(tài)提醒。

2、對賬戶進(jìn)行短信限流
思銳驗(yàn)證碼短信接口支持多種方式的限流機(jī)制，用戶可以根據(jù)自己的業(yè)務(wù)需要及特點(diǎn)，設(shè)置每天的最大發(fā)送量、每號(hào)碼每天、每號(hào)碼每分鐘的發(fā)送量，將短信被刷的風(fēng)險(xiǎn)降低在可控范圍內(nèi)。
如賬戶短信達(dá)到當(dāng)日最大發(fā)送量時(shí)，思銳短信平臺(tái)會(huì)自動(dòng)通過短信或微信通知您，您可以登錄平臺(tái)對發(fā)送量進(jìn)行調(diào)整。

3、在用戶注冊頁面增加人機(jī)驗(yàn)證
短信轟炸、短信攻擊一般是采用軟件進(jìn)行自動(dòng)攻擊，在邏輯上，對用戶先進(jìn)性人機(jī)校驗(yàn)，校驗(yàn)通過之后才允許用戶點(diǎn)擊獲取驗(yàn)證碼按鈕；人機(jī)校驗(yàn)的方式一般有以下幾種：

a) 圖形驗(yàn)證碼：加上足夠復(fù)雜的圖形驗(yàn)證碼可有效防止惡意工具的自動(dòng)化調(diào)用，即當(dāng)用戶進(jìn)行“短信驗(yàn)證碼發(fā)送” 操作前, 彈出圖形驗(yàn)證碼，要求用戶輸入驗(yàn)證碼后，服務(wù)器端再發(fā)送動(dòng)態(tài)短信到用戶手機(jī)上，該方法可有效解決被利用實(shí)施短 信轟炸攻擊的問題。
參考鏈接：https://www.ihuyi.com/tool/img.html

b) 第三方人機(jī)校驗(yàn)：相較圖形驗(yàn)證碼，第三方人機(jī)校驗(yàn)服務(wù)的安全性更高，體驗(yàn)更好，不過一般都是要付費(fèi)使用。常見的表現(xiàn)形式有：

4、    在注冊頁面增加請求限制
a）對單個(gè)IP每天的請求次數(shù)做限制，如一天10次，超過即拒絕請求；
b）對同一號(hào)碼的請求時(shí)間進(jìn)行限制，單一用戶請求驗(yàn)證碼之后，需要間隔60-120秒才能再次請求；且同一號(hào)碼每天最多只能請求5-10次；
c）將獲取驗(yàn)證碼功能放在表單（如填寫用戶名、密碼等）和人機(jī)驗(yàn)證之后，即用戶通過了表單校驗(yàn)和人機(jī)驗(yàn)證之后，才能點(diǎn)擊獲取驗(yàn)證碼按鈕。

短信驗(yàn)證碼接口采用了以上一些防護(hù)措施之后，能防范絕大多數(shù)的短信接口攻擊行為，大大節(jié)約您的短信成本；當(dāng)然，這些策略需要在項(xiàng)目開發(fā)的時(shí)候就要考慮并配置。