短信通道防盗刷方案
一、使用安全图形验证码,增加识别难度,防止通过自动化工具进行攻击请求;
规则:使用手滑动形式的验证码。
二、限制每个手机号的发送次数;
规则:每个手机号每天最多只能发10条短信;
三、单Ip的请求次数限制,防止攻击者对服务器进行大量无效请求(在图形验证码未破解的情况下,自动化工具行程错误请求),增加服务器负担;
规则:限制单IP每天请求次数不能超过10次。
四、单用户动态短信请求间隔时长限制,防止对单个用户形成手工攻击,防止图形验证码失效后对用户形成大量攻击;
规则:单用户请求短信时间间隔为“60秒”;
五、增加IP黑名单库,在黑名单库的Ip永久不能获取验证码;管理员可以手动添加IP黑名单,可以手动删除黑名单;
黑名单规则:
1)同一号码在同一天内发送超过10条短信;
2)同一IP在1分钟内出现3次以上;
3)同一IP在30分钟内超过5次以上;
4)同一IP在24*60分钟内出现10次以上;
5)同一IP在48*60内出现20以上;