短信驗(yàn)證碼圖形識(shí)別
時(shí)間:2015-09-01
來源:未知
作者:admin
目前�����,網(wǎng)頁(yè)短信驗(yàn)證碼存在大量惡意攻擊����,有不法軟件開發(fā)人員���,使用搜索引擎批量導(dǎo)入未添加“圖形識(shí)別碼”的注冊(cè)網(wǎng)址�。不法分子將“手機(jī)轟炸器”軟件打包銷售或免費(fèi)提供給網(wǎng)友�����,網(wǎng)友使用該軟件惡意攻擊他人手機(jī)號(hào)�����,達(dá)到其騷擾對(duì)方造成對(duì)方無法正常使用手機(jī)的目的。
圖形識(shí)別驗(yàn)證碼的作用 :
1�、保護(hù)短信帳號(hào)的條數(shù)。
2�、防止因?yàn)楸徊环ǚ肿永枚鸬挠脩敉对V
3、短信發(fā)送安全����。
說明:根據(jù)多年經(jīng)驗(yàn),個(gè)別客戶使用一個(gè)號(hào)碼一天只允許獲取一次也是無法防范的�����,曾有客戶限制次數(shù)后一天被刷掉數(shù)十萬條短信數(shù)的事情����。原因是由于短信攻擊軟件�����,有大范圍大批量的盲發(fā)功能�����,將導(dǎo)致任何獲取驗(yàn)證碼“次數(shù)限制”均失效��。
短信驗(yàn)證圖形識(shí)別碼添加說明及示例
1、根據(jù)國(guó)家相關(guān)政策����,要求不具備防范惡意攻擊軟件的短信使用單位/個(gè)人,必須具備防范�、防止及有效避免騷擾用戶的辦法,運(yùn)營(yíng)商應(yīng)積極響應(yīng)用戶拒收騷擾短信的要求���。
2�����、針對(duì)驗(yàn)證碼�����、找回密碼���、重置密碼等功能,必須要求用戶先“輸入圖形識(shí)別碼”�����,然后“再獲取短信檢驗(yàn)”�����。
3、推薦使用以下方式添加“圖形識(shí)別碼”防范垃圾短信���。
圖形識(shí)別碼示例一:
http://www.aocmonitor.com.cn/register/
圖形識(shí)別五步機(jī)制:
1)生成圖形識(shí)別碼�����。
2)產(chǎn)生與圖形文字對(duì)應(yīng)的 session 變量���。
3)判斷用戶輸入的字符是否與圖形識(shí)別碼 session變量匹配。
4)輸入正確圖形識(shí)別碼后���,允許點(diǎn)擊“獲取短信驗(yàn)證碼” ��。
5)點(diǎn)擊獲取驗(yàn)證碼按鈕后���,在 POST/GET 的目標(biāo)效驗(yàn)頁(yè)面�����,再次判斷圖形 session變量是否正確或存在�����,以避免惡意軟件繞過(Fiddler HTTP 抓包)圖形識(shí)別碼,直接調(diào)用短信發(fā)送接口實(shí)現(xiàn)攻擊����。
京公網(wǎng)安備 11010502050532號(hào)
