事件

接口來(lái)源
1.WEB注冊(cè)接口
2.APP注冊(cè)接口
發(fā)送大量驗(yàn)證碼
IP數(shù)量不斷變化，大量手機(jī)號(hào)碼（不在意短信是否空號(hào)）

目前解決方案

? 增加了安全驗(yàn)證碼
? 輸入驗(yàn)證碼在發(fā)送短信

安全方案

0.短信發(fā)送時(shí)間間隔限制：

限制同一個(gè)手機(jī)號(hào)碼重復(fù)發(fā)送的時(shí)間間隔。通常設(shè)置為60-120秒，前端做倒計(jì)時(shí)限制，時(shí)間未到不能點(diǎn)擊發(fā)送短信按鈕，后臺(tái)也做時(shí)間間隔限制，時(shí)間未到不能發(fā)送短信。

1.IP限定

根據(jù)自己的業(yè)務(wù)特點(diǎn)，設(shè)置每個(gè)IP，號(hào)碼，每天的最大發(fā)送量，另外可校驗(yàn)手機(jī)號(hào)碼和IP是否屬于同一地區(qū)

2.修改注冊(cè)步驟

注冊(cè)用戶，將發(fā)送短信驗(yàn)證碼和設(shè)置用戶名密碼分成兩個(gè)步驟，第一步一個(gè)頁(yè)面用來(lái)設(shè)置用戶名和密碼，用戶設(shè)置用戶名和密碼發(fā)送到后臺(tái)，獲取到后臺(tái)返回的第一步成功回執(zhí)之后，進(jìn)入第二步另一個(gè)頁(yè)面發(fā)送手機(jī)短信驗(yàn)證碼。（提交的速度和IP提交限制）
附:將手機(jī)短信驗(yàn)證和用戶名密碼設(shè)置分成兩個(gè)步驟，用戶在設(shè)置成功用戶名密碼后，下一步才進(jìn)行手機(jī)短信驗(yàn)證，并且需要在獲取第一步成功的回執(zhí)之后才可進(jìn)行校驗(yàn)。

3.加入Token

對(duì)發(fā)送者進(jìn)行唯一性識(shí)別：防止修改參數(shù)偽造多個(gè)IP地址和手機(jī)號(hào)碼進(jìn)行惡意攻擊，用Token作為唯一性識(shí)別標(biāo)識(shí)，后臺(tái)將Token注入到前端，前端可以獲取到Token，請(qǐng)求發(fā)送短信驗(yàn)證碼接口時(shí)帶上Token，后臺(tái)接收到Token進(jìn)行驗(yàn)證，驗(yàn)證未通過(guò)不能發(fā)送短信。(推薦使用第這種方案)
另外把圖片和手機(jī)號(hào)碼進(jìn)行綁定，

4.增加圖片驗(yàn)證碼：

發(fā)送短信驗(yàn)證碼時(shí)，要求輸入圖片驗(yàn)證碼，每個(gè)圖片驗(yàn)證碼僅能使用1次，使用1次后，不管輸入的圖片驗(yàn)證碼是否正確自動(dòng)失效。
如果輸入錯(cuò)誤更新圖片驗(yàn)證碼。圖片驗(yàn)證碼失效可以防止圖片驗(yàn)證碼識(shí)別軟件嘗試多次識(shí)別。
可以考慮復(fù)雜的圖片驗(yàn)證碼或點(diǎn)觸驗(yàn)證、滑動(dòng)驗(yàn)證、圖像正反。

5.埋點(diǎn)

通過(guò)js收集一些網(wǎng)頁(yè)版的設(shè)備指紋和客戶端信息上報(bào)，通過(guò)js生成hash指紋區(qū)別不通設(shè)備，同時(shí)上傳瀏覽器ua、分辨率、平臺(tái)、系統(tǒng)等信息，有寬泛的鑒別能力，通過(guò)此方法可以建立自己的情報(bào)庫(kù)。
對(duì)用戶進(jìn)行人機(jī)驗(yàn)證，例如，前段js的加載，用戶頁(yè)面停留的時(shí)間，判斷用戶是否代理IP。
有能力企業(yè)可以自己做風(fēng)控系統(tǒng)