目录介绍：

• 1、如何解决短信验证码接口被攻击的问题？
• 2、短信验证并不安全！
• 3、黑客攻击主要有哪些手段？

如何解决短信验证码接口被攻击的问题？

普通自开发

发送时间间隔

设置同一个号码重复发送的时间间隔，一般设置为60-120秒。该手段可以在一定程度上防止短信接口被恶意攻击，且对用户体验没有什么伤害。但是不能防止黑客更换手机号进行攻击，防护等级较低。

获取次数限制

限制某个手机号在某个时间段内获取短信验证码次数的上限。采用这种策略时在产品设计过程中，有几点需要注意。

定义上限值。根据业务真实的情况，甚至需要考虑到将来业务的发展定一个合适的上限值，避免因用户无法收到短信验证码而带来的投诉。

定义锁定时间段。可以是24小时，可以是12小时、6小时。需要根据业务情况进行定义。

IP限制

设置单个IP地址某个时间段内最大的发送量。该手段可很好的预防单一IP地址的攻击，但是也有两个很明显的缺点：

对于经常变更IP地址进行攻击的黑客，该手段没有很好的效果。

IP的限制经常会造成误伤。如在一些使用统一无线网的场所，很多用户连接着同一个无线网，这个IP地址就容易很快达到上限，从而造成连接该无线网的用户都无法正常的收到验证码。

图形验证码

在发送短信验证码之前，必须通过通过图形验证码的校验。这种手段相对来说可以防止某些攻击，因此也是目前非常普遍的短信防攻击机制。但是在使用过程中涉及到用户体验问题，不能简单粗暴地套用这一策略。以下几个点值得仔细考虑：

是不是每次获取短信验证码之前都需要用户输入图形验证码，一般来说这样做会极大地影响用户体验，虽然是相对安全，但是用户用着不爽了。

可以给一个安全范围。结合手机号限制、IP限制来考虑，比如同一个手机号当天第3次获取短信验证码的时候，出现图形验证码；比如同一个IP地址当天获取验证码次数超过100次后，出现图形验证码。

加密限制

通过对传向服务器各项参数进行加密，到了服务器再进行解密，同时用token作为唯一性识别验证，在后端对token进行验证，验证通过才能正常将短信发送。该手段可以在保证用户体验的情况下，可以有效防止某些攻击，因此也是目前比较常见的短信防攻击机制。同时也有很明显的缺点：

使用的加解密算法可能会被破解，需要考虑使用破解难度较大的加解密算法。

在算法不被破解的情况下可以有效防止报文攻击，但是无法防止浏览器模拟机式攻击。

以上是几种常见的短信风控策略，在具体的产品设计过程中，可以综合使用。

使用第三方防御

短信防火墙

为了在产品安全和优秀的用户体验之间寻找一个极佳的平衡。新昕科技的产品研发团队结合各种风控策略的优点研发出了一款短信防火墙。 从以下几个方面概括一下：

为保障优秀的用户体验，摈弃了目前影响用户体验最为严重的图形验证码等人机校验程序，做到无感验证。从而达到完美的用户体验。

结合用户的手机号码 、IP地址 、设备指纹三个唯一身份标识设置不同维度的风控策略。将各个维度之间相互配合，达到一个最为合理的风控限制指标。

根据业务情况自动伸缩风控限制，在检测处受攻击时自动加大风控限制力度，在正常是再归回到正常风控标准。

考虑到存在新老客户的区别，特意增加老客户VIP通道，在受到攻击时，风控指标紧缩的情况下，保证老客户通道畅通无阻，从而降低误伤率。

通过以上策略可以有防止黑客通过随意切换手机号及IP地址的方式可以刷取短信。同时加入模拟器检测，以及参数加密等风控策略，有效防止黑客攻击。

可通过风控防火墙控制台，实时观测风控结果，在受到攻击时达到第一时间预警的效果。

如需了解更多请关注新昕科技官网：newxtc.com

请点击输入图片描述

请点击输入图片描述

短信防火墙

短信验证并不安全！

为确保账户安全，双重验证已经成为网络服务的常规措施。但是对于大多数用户来说，双重设置需要有一个临时生成的验证码，或者额外地给你的手机发送一个密码，而这些验证码并不是不能破解的。尤其是那种通过短信形式发送的验证码。

在最近几个月里已经证实手机短信经常是双重验证中最薄弱的环节：黑客攻击了伊朗、俄罗斯甚至美国的政治活动家的手机短信。所以如果有可能的话，选择一种更好的验证方式是值得的，比如专门用于身份验证的智能手机app软件或者是能够生成一次性验证码的实物密码器。对于推特这类只能提供短信作为第二重验证的业务，是时候要清醒了，要察觉到可能的攻击，提供给用户更好的选择。

“短信并不是第二重验证的最佳方式，” 安全研究员兼法医专家Jonathan Zdziarski说：“它依赖你的手机进行验证，而这种验证能够受到侵犯并且失去控制。”

社交软件出问题不是空想出来的。在这个月初，Black Lives Matter的活动家DeRay McKesson发现，尽管他的推特账户有双重验证，但还是被黑了，黑客发了一条大选支持唐纳德?特朗普的消息。他说，黑客冒充他，打电话给Verizon（美国电信运营商），并让公司将他的短信发送至另一个不同的SIM卡上，从而截取他的一次性登陆密码。俄罗斯的活动家们近期也发现了他们的电报账号也被攻击了，可能是由国有电信公司帮助那些独裁政府劫持短信电报用于用户登录。

事实上，并不是只有公众人物才成为被攻击的目标。作为密码安全专家，Lorrie Cranor曾经历过一场相关的黑客攻击，她注意到这些身份识别攻击已经相当普遍，以至于纽约州发布了一个官方警告。

在你的登陆过程中，多增加一重基于短信验证的保障，势必要优于仅仅基于密码登陆的设置。但是Zdziarski指出，短信验证作为第二重验证却一点也不保险。双重验证是想确认人们的身份，基于一些他们知晓的信息（例如密码）以及他们拥有的一些物品（例如他们手机或其他设备）。

像“谷歌认证”和基于RSA加密算法的“令牌”就具有更好的安全性，它们可以通过网络服务商提供独一无二的一次性密码。经过测试，因为加密技巧的原因，这些安全信息无法在两台电脑之间互用。这样安全性就远远高于短信验证。不过，它方便性有所降低，这也可能是为什么没有那么普遍的原因吧。

“短信验证把你的登陆方式从‘你知晓的信息’变成了‘别人发送给你的信息’，” Zdziarski说：“如果交易发生了，这可能会被拦截。这也就意味着你的交易可能存在一定程度的风险。”

有一些策略诸如应用社交工程或者使用暴力手段，可以针对电话公司，从而破坏双重验证中的短信验证。被称为“国际移动用户识别码（IMSI）”和“黄貂鱼破解器”的假的手机信号塔也可以拦截短信。安全共同体最近呼吁关注七号信令系统（SS7），此协议允许网络通信彼此可以进行信息交流。黑客可以利用SS7，更改用户的电话号码，拦截他们的电话或短信。“现在任何网络可以告诉其他网络‘你的用户’信息，除非你的电话接通，否则电话和信息就会被转移到其他网络，”安全实验室的首席科学家Karstem Nohl说，此科学家最近演示了60分钟的攻击。“如果有一个攻击者，他们能得到你所有的短信。这确实千真万确……而且它是如此简单，简单到让人羞于说这是黑客行为。”

不过这些攻击准确的说也不是那么容易实现的，需要攻击者搞到用户的电话号码以及密码。这些号码可以是偷的，也可以是猜的，或者也可以是其他黑客组织泄露出的数据。因为任何一个人都有可能成为一个老练黑客的目标，所以这些基于短信服务的技术都应该避免任何登录相关信息的泄露。

幸运的是，大量的服务商提供了更好的选择。谷歌上周推出了“谷歌提示”，此服务可以直接从服务器发送第二重验证，到用户的安卓手机或者ISO系统的app应用“谷歌搜索”中。但是，更安全的应用应该不要求发送任何信息。像“谷歌认证”与“谷歌令牌”，以及RSA加密算法这样的app应用会生成一次性的密码，并且这些密码会在几秒之内就发生变更。这些由服务器产生的提取码被诸如Slack、WordPress或者Gmail这些服务商所应用，所以他们的用户可以说出密码来证明自己的身份，即使被泄露到网络上也是没有关系的。

蝌蚪君编译自wired，译者 天狼，转载须注明

黑客攻击主要有哪些手段？

黑客攻击手段：

1、漏洞扫描器

漏洞扫描器是用来快速检查已知弱点的工具，这就方便黑客利用它们绕开访问计算机的指定端口，即使有防火墙，也能让黑客轻易篡改系统程序或服务，让恶意攻击有机可乘。

2. 逆向工程

逆向工程是很可怕的，黑客可以利用逆向工程，尝试手动查找漏洞，然后对漏洞进行测试，有时会在未提供代码的情况下对软件进行逆向工程。

3. 蛮力攻击

这种手段可以用于密码猜测，速度非常快。但如果面对的是很长的密码，蛮力搜索就需要更长的时间，这时候黑客会使用字典攻击的方法。

4. 密码破解

黑客会反复猜测尝试，手工破解常见密码，并反复尝试使用“字典”或带有许多密码的文本文件中的密码，从而可以窃取隐私数据。

5. 数据包嗅探器

数据包嗅探器是捕获的数据分组，可以被用于捕捉密码和其他应用程序的数据，再传输到网络上，造成数据泄露。

黑客作用原理

1、收集网络系统中的信息

信息的收集并不对目标产生危害，只是为进一步的入侵提供有用信息。黑客可能会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息。

2、探测目标网络系统的安全漏洞

在收集到一些准备要攻击目标的信息后，黑客们会探测目标网络上的每台主机，来寻求系统内部的安全漏洞。

3、建立模拟环境，进行模拟攻击

根据前面两小点所得的信息，建立一个类似攻击对象的模拟环境，然后对此模拟目标进行一系列的攻击。在此期间，通过检查被攻击方的日志，观察检测工具对攻击的反应，可以进一步了解在攻击过程中留下的“痕迹”及被攻击方的状态，以此来制定一个较为周密的攻击策略。

4、具体实施网络攻击

入侵者根据前几步所获得的信息，同时结合自身的水平及经验总结出相应的攻击方法，在进行模拟攻击的实践后，将等待时机，以备实施真正的网络攻击。