面试官:如何防止短信盗刷和短信轰炸?

本文涉及的产品
Redis 开源版,标准版 2GB
推荐场景:
搭建游戏排行榜
云数据库 Tair(兼容Redis),内存型 2GB
简介: 面试官:如何防止短信盗刷和短信轰炸?

短信盗刷和短信轰炸是项目开发中必须要解决的问题之一,它的优先级不亚于 SQL 注入的问题,同时它也是面试中比较常见的一个经典面试题,今天我们就来看下,如何防止这个问题。

1.概念介绍

短信盗刷和短信轰炸的概念如下:

  • 短信盗刷是指使用某种技术手段,伪造大量手机号调用业务系统,盗取并发送大量短信的问题。这样会导致短信系统欠费,不能正常发送短信,同时也给业务系统方,带来了一定的经济损失和不必要的麻烦。
  • 短信轰炸是指攻击者利用某种技术手段,连续、大量地向目标手机号码发送短信,以达到骚扰、干扰或消耗目标用户的时间、流量与精力的目的。这种行为可能会对受害者造成骚扰、通信中断和手机电量消耗过快等问题。

    2.解决方案

    短信盗刷和短信轰炸属于一类问题,可以一起解决。但这类问题的解决,不能依靠某一种解决方案,而是多种解决方案共同作用,来预防此类问题的发生。

这类问题的综合解决方案有以下几个:

  1. 添加图形验证码:用户发送短信前,需要先输入正确的图形验证码,或拖动验证码等验证,验证通过之后,才能正常发送短信验证码。因为图形验证码的破解难度非常大,所以就避免了自动发送短信程序的执行。
  2. 添加 IP 限制:对请求 IP 的发送次数进行限制,避免短信盗刷和短信轰炸的问题。例如,每个 IP 每天只能发送 10 条短信。
  3. 开启 IP 黑名单:限制某个 IP 短信发送功能,从而禁止自动发送短信程序的执行。
  4. 限制发送频次:一个手机号不能一直不停的发送验证码(即使更换了多个 IP 也不行),设置一个手机号,每分钟内只能发送 1 次验证码;一小时之内,只能发送 5 次验证码;一天之内,只能发送 10 次验证码。
  5. 开启短信提供商的防控和报警功能:几乎所有的短信提供商都提供了,异常短信的防控和提醒功能,开启这些保护措施,可以尽可能的避免短信盗刷的问题。

具体实现如下。

3.具体解决方案

3.1 添加图形验证码

图形验证码的执行流程如下:

  1. 当用户点击“发送短信验证码”的时候,前端程序请求后端生成图形验证码,后端程序生成图形验证码的功能,可以借助 Hutool 框架来生成,它的核心实现代码如下:

    @RequestMapping("/getcaptcha")
    public AjaxResult getCaptcha(){
         
         
     // 1.生成验证码到本地
     // 定义图形验证码的长和宽
     LineCaptcha lineCaptcha = CaptchaUtil.createLineCaptcha(128, 50);
     String uuid = UUID.randomUUID().toString().replace("-","");
     // 图形验证码写出,可以写出到文件,也可以写出到流
     lineCaptcha.write(imagepath+uuid+".png");
     // url 地址
     String url = "/image/"+uuid+".png";
     // 将验证码存储到 redis
     redisTemplate.opsForValue().set(uuid,lineCaptcha.getCode());
     HashMap<String,String> result = new HashMap<>();
     result.put("codeurl",url);
     result.put("codekey",uuid);
     return AjaxResult.succ(result);
    }
    
    AI 代码解读

    上述执行代码中有两个关键操作:第一,生成图形验证码,并返回给前端程序;第二,将此图形验证的标识(ID)和正确的验证码保存到 Redis,方便后续验证。

  2. 前端用户拿到图形验证码之后,输入图形验证码,请求后端程序验证,并发送短信验证码。

  3. 后端程序拿到(图形)验证码之后,先验证(图形)验证码的正确性.如果正确,则发送短信验证码,否则,将不执行后续流程并返回执行失败给前端,核心实现代码如下:
    // redis 里面 key 对应的真实的验证码
    String redisCodeValue = (String) redisTemplate.opsForValue().get(user.getCodeKey());
    // 验证 redis 中的验证码和用户输入的验证码是否一致
    if (!StringUtils.hasLength(redisCodeValue) || !redisCodeValue.equals(user.getCheckCode())) {
         
         
     // 验证码不正确
     return AjaxResult.fail(-1, "验证码错误");
    }
    // 清除 redis 中的验证码
    redisTemplate.opsForValue().set(userInfoVO.getCodeKey(), "");
    // 请求短信 API 发送短信业务......
    
    AI 代码解读

    3.2 添加 IP 限制

    IP 限制可以在网关层 Spring Cloud Gateway 中实现,在 Gateway 中使用全局过滤器来完成 IP 限制,核心实现代码如下:
    @Component
    public class IpFilter implements GlobalFilter {
         
         
     @Override
     public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
         
         
         // 获取请求 IP
         String ip = exchange.getRequest().getRemoteAddress().getAddress().getHostAddress();
         Long count = redisTemplate.opsForValue().increment(ip, 1); // 累加值
         if(count >= 20){
         
          // 大于最大执行次数
             redisTemplate.opsForValue().decrement(ip, 1); // 变回原来的值
             // 终止执行
             response.setStatusCode(HttpStatus.METHOD_NOT_ALLOWED);
             return response.setComplete();
         }
         redisTemplate.expire(ip, 1, TimeUnit.DAYS); // 设置过期时间
         // 执行成功,继续执行后续流程
         return chain.filter(exchange);
     }
    }
    
    AI 代码解读
    其中,访问次数使用 Redis 来存储。

    3.3 开启 IP 黑名单

    IP 黑名单可以在网管层面通过代码实现,也可以通过短信提供商提供的 IP 黑名单来实现。

例如,阿里云短信提供的 IP 黑名单机制,如下图所示:
image.png
image.png
通过以上设置之后,我们就可以将监控中有问题的 IP 设置为黑名单,此时 IP 黑名单中的 IP 就不能调用短信的发送功能了。

PS:网关层面实现 IP 黑名单,可以参考添加 IP 限制的代码进行改造。

3.4 限制验证码的发送频次

验证码的发送频次,可以通过网关或短信提供商来解决。以阿里云短信为例,它可以针对每个手机号设置每分钟、每小时、每天的短信最大发送数,如下图所示:
image.png
当然,这个值也可以人为修改,但阿里云短信每天单个手机号最多支持发送 40 条短信。

3.5 开启短信提供商的防控和报警功能

短信提供商通常会提供防盗、防刷的机制。例如,阿里短信它可以设置短信发送总量阈值报警、套餐余量提醒、每日/每月发送短信数量限制等功能,如下图所示:
image.png

课后思考

本文所描述的问题只是日常开发中遇到的问题之一,但是除了本文提供的问题之外,你还遇到了哪些记忆深刻的问题呢?你又是如何解决的呢?欢迎评论区留言互动,最佳留言者,将会获得一次免费的简历辅导服务,欢迎大家积极参与并讨论。

本文已收录到我的面试小站 www.javacn.site,其中包含的内容有:Redis、JVM、并发、并发、MySQL、Spring、Spring MVC、Spring Boot、Spring Cloud、MyBatis、设计模式、消息队列等模块。

相关实践学习
基于Redis实现在线游戏积分排行榜
本场景将介绍如何基于Redis数据库实现在线游戏中的游戏玩家积分排行榜功能。
云数据库 Redis 版使用教程
云数据库Redis版是兼容Redis协议标准的、提供持久化的内存数据库服务,基于高可靠双机热备架构及可无缝扩展的集群架构,满足高读写性能场景及容量需弹性变配的业务需求。 产品详情:https://www.aliyun.com/product/kvstore &nbsp; &nbsp; ------------------------------------------------------------------------- 阿里云数据库体验:数据库上云实战 开发者云会免费提供一台带自建MySQL的源数据库&nbsp;ECS 实例和一台目标数据库&nbsp;RDS实例。跟着指引,您可以一步步实现将ECS自建数据库迁移到目标数据库RDS。 点击下方链接,领取免费ECS&amp;RDS资源,30分钟完成数据库上云实战!https://developer.aliyun.com/adc/scenario/51eefbd1894e42f6bb9acacadd3f9121?spm=a2c6h.13788135.J_3257954370.9.4ba85f24utseFl
目录
打赏
0
1
1
0
1167
分享
相关文章
港澳台验证码海外短信群发教程,利用阿里云国际如何实现境外短信操作
港澳台验证码海外短信群发教程,利用阿里云国际如何实现境外短信操作
防止短信轰炸,行为验证码是关键!
忘记传统的验证码输入方式吧!创新的文字点选验证码,让你通过选择正确的文字来验证你的人类身份。这种方式不仅更加便捷,还能有效防止机器人攻击。体验文字点选验证码的魅力!
阿里云短信群发、验证码、短信提醒费用价格表
阿里云短信群发、验证码、短信提醒费用价格表,阿里云短信服务价格表,阿里云短信0.032元一条,阿里云短信价格?阿里云短信怎么收费?阿里云短信多少钱一条,阿里云短信价格0.032元一条
538 0
|
8月前
|
如何防止短信盗刷产生资损
日常使用的云资源中,如果由于客户API对外设计不合理、AK/SK暴露等原因,可能导致资源出现被盗刷的情况并导致资损,本文梳理针对短信服务的防盗刷的能力,以及配套的安全管理策略。短信计费模式:可参考https://help.aliyun.com/document_detail/44340.htmlht...
216 0
如何防止短信盗刷产生资损
预防“短信轰炸机”,你可以接入KgCaptcha来帮你
最近收到leader的一个邮件说我们的项目有短信轰炸风险。顿时让做技术开发的人为之一颤。今天给大家分享一个解决这个问题的方法。就是凯格科技的 KgCaptcha 进行验证码生成和校验。闲话少说直接上代码。
预防“短信轰炸机”,你可以接入KgCaptcha来帮你
阿里云国际版短信验证码定制
阿里云国际版短信验证码定制怎么做?sanniuge来带您了解一下。
整合阿里云短信进行短信发送(2) | 学习笔记
快速学习 整合阿里云短信进行短信发送(2)
249 0
整合阿里云短信进行短信发送(2) | 学习笔记
阿里云短信接口说明
首先又改名字了,从原来的“阿里大鱼”到“阿里大于”现在叫做“阿里云·云通信” 整体上合并到了阿里云的体系里面,从申请到充值都和阿里云其他接口相同: 阿里大于短信接口合并到阿里云里了,使用方式和之前很不一样 百度搜索之前的名称,同样也会进入阿里云的页面。
4569 0

热门文章

最新文章