如何防止验证码接口被恶意攻击

关键词：短信轰炸机

短信接口验证码是网站、App校验用户手机号码真实性的首要途径，在为网站及APP提供便利的同时，手机短信验证功能也会被部分用户和短信轰炸机进行恶意利用。如何才能防止被恶意点击呢？如果您是我们的客户，请仔细阅读。

容易被攻击的接口：注册时用户输入号码就可直接触发短信！最容易被短信轰炸机利用，只要网站被搜索引擎收录，短信轰炸机就很容易检索到注册页面。

 

推荐的以下几种对接方式：

 

1. 【绑定图型校验码】——将图形校验码和手机验证码进行绑定，当用户输入手机号码以后，需要输入图形校验码才可以触发短信，这样能比较有效的防止软件恶意点击。现在大型网站都采用此方式。

如：http://reg.email.163.com/unireg/call.do?cmd=register.entrance&from=163mail_right

2.【流程限定】——将手机短信验证和用户名注册分成两个步骤，用户在注册成功用户名密码后，下一步才进行手机短信验证。

3.【触发条件】——用户必须填写好所有注册信息才可进行触发，注册资料不完整无法发送验证码。

附加对接设置：

 

4. 【短信发送间隔设置】——设置同一号码重复发送的时间间隔，一般设置为60-120秒；

5. 【IP限定】——设置每个IP每天的最大发送量；

6. 【发送量限定】——设置每个手机号码每天的最大发送量；

目前我们推荐的是第1、2、3结合456的方法进行对接接口。以免短信造成不必要的浪费！

 

温馨提示：请合作的客户做好注册页面安全工作，如出现被短信轰炸机利用问题请及时配合处理好注册安全问题。如果新客户没有更好的对接方法，请按我们所提供的方法进行对接处理，防止后期出现被攻击问题。

 

PS：请在验证码内容最后加上退订操作，如：回复TD拒收；退订回复TD等相关内容。当非用户触发接收的短信，用户回复TD以后，平台将会将其列入拒发数据库，将会停止对该号码发送。

关于“短信轰炸机”。