全球主机交流论坛

标题: 公司的短信发送接口被人恶意利用了 [打印本页]

作者: lhspang 时间: 2021-5-11 20:08
标题: 公司的短信发送接口被人恶意利用了
据说发了120W条短信，接口什么验证都没有，有个手机号就能发短信，现在短信发送功能已经关了。然后领导们讨论的方案是加图形验证码和每天发送条数限制。那么各位mjj们有什么解决方案呢。

作者: cherbim 时间: 2021-5-11 20:10
提示: 作者被禁止或删除内容自动屏蔽

作者: 锦安 时间: 2021-5-11 20:10
终极方案是不发短信, 让用户发短信到指定号码.
100% 防刷

作者: Salta 时间: 2021-5-11 20:11
120W条、？贵司真有钱....

其次，接口不做验证是真吊... 解决方案的话，很多，随便选一个就可以了

作者: Cuchemist 时间: 2021-5-11 20:15
财大气粗60s一次就行了
穷逼点加个时间翻倍
再穷就限制每小时数量
非常穷就加个验证码

作者: alk19t 时间: 2021-5-11 20:16
你们什么公司? 有这么大的短信额度？

作者: 揽月 时间: 2021-5-11 20:18
ip + 手机号限制

作者: 揽月 时间: 2021-5-11 20:20
没限制的话开多线程，两小时上百万条短信轻松的

作者: hostloc@ 时间: 2021-5-11 20:20
提示: 作者被禁止或删除内容自动屏蔽

作者: usbport 时间: 2021-5-11 20:22
参考大厂呗，我感觉比较靠谱的是滑动验证，阿里云那个感觉就挺叼的。

作者: Chiser 时间: 2021-5-11 20:24
学腾讯，用户自己发信息验证

作者: puper 时间: 2021-5-11 20:24
验证码吧

作者: lhspang 时间: 2021-5-11 20:29

Cuchemist 发表于 2021-5-11 20:15
财大气粗60s一次就行了
穷逼点加个时间翻倍
再穷就限制每小时数量

有60S的限制，现在要加个每个手机号每天5条的限制

作者: h20 时间: 2021-5-11 20:31
提示: 作者被禁止或删除内容自动屏蔽

作者: 草丛中一杯茶 时间: 2021-5-11 20:32
常规方案:判断请求来源+验证码+请求时间间隔

作者: h2so4 时间: 2021-5-11 20:40
提示: 作者被禁止或删除内容自动屏蔽

作者: 太上皇 时间: 2021-5-11 20:54
限制手机号发送次数没用, 一般被滥用都是被人拿去发垃圾短信, 不是发给同一个号码的

发送验证码前, 先弄个极验滑块就行了

作者: Lish 时间: 2021-5-11 20:56
发送的时候弹出一个验证，验证通过后才能发送，

在验证前把验证 SESSION = 0 验证后 =1 短信发送前验证 session 是否等于 1 发送完后清空 session

作者: jieky 时间: 2021-5-11 21:05
本帖最后由 jieky 于 2021-5-13 10:46 编辑

有大佬在我就不废话了

作者: 16qf 时间: 2021-5-11 21:10

图片验证码辣鸡玩意，怎么也得整个滑动验证码

作者: optimism 时间: 2021-5-11 21:18
帮顶

作者: antbt 时间: 2021-5-11 21:30
接口不验证是真吊

作者: Trojan. 时间: 2021-5-11 21:40
以前手机轰炸软件，其中短信轰炸，就是拿各个平台的验证短信来炸目标手机号。

作者: Typeboom 时间: 2021-5-11 21:43
上reCAPTCHA V3无感人机验证

作者: ghostcir 时间: 2021-5-11 21:45
提示: 作者被禁止或删除内容自动屏蔽

作者: cnly1987 时间: 2021-5-11 21:55
这种直接买腾讯阿里的短信包就好了，
里面设置发送频率和发送次数限制。一个号码 3分钟一次，每天最多5次。直接不用管。

作者: zzr 时间: 2021-5-11 22:05

锦安发表于 2021-5-11 20:10
终极方案是不发短信, 让用户发短信到指定号码.
100% 防刷

小气的腾讯以前这么干了很多年，但是现在比阿里大方很多了。。有时候这个世界就是这么怪。

作者: 超兽 时间: 2021-5-11 22:08
本帖最后由超兽于 2021-5-11 22:10 编辑

120w 报警送他们去吃免费饭一般这种都是有网站调用的查日志有些可能会留下Referer 最差也会留下刷短信人的IP 找到一个人然后找他哪里买的短信轰炸我有次也是被刷直接送了几波DD CC过去然后反手一个举报后面送他进去吃饭了用的CN域名然后国内服务器

作者: 今晚不吃饭 时间: 2021-5-11 22:16
限制时间和号码，最不济的加滑动验证

作者: sqzryang 时间: 2021-5-12 09:22
1 同一个手机号一天只能收n条，每条间隔xx秒
2 同一个ip地址一天只能发n条，每条间隔xx秒
3 复杂的验证码

作者: 没有的 时间: 2021-5-12 09:25

超兽发表于 2021-5-11 22:08
120w 报警送他们去吃免费饭一般这种都是有网站调用的查日志有些可能会留下Referer 最差也会留下刷短信 ...

话说，你DD CC是怎么整的啊？有教程吗？我想反击

作者: coderzgh 时间: 2021-5-12 09:36
必须服务端校验如果只是前台校验别人继续抓到接口的话任然可以用来短信轰炸这东西就是短信轰炸机的由来

作者: derain 时间: 2021-5-12 09:41
频率限制

每天的次数限制

作者: 祭徐坤 时间: 2021-5-12 13:35
不验证不限制，领导们讨论方案垃圾

作者: 1121744186 时间: 2021-5-12 13:38

cherbim 发表于 2021-5-11 20:10
一般都是加限制时间+限制次数，60秒发送一次，30分钟内发送超过5次直接拉黑 ...

没用都是代理ip 和随机一个手机号

作者: 数端科技-胖虎 时间: 2021-5-12 17:29

Chiser 发表于 2021-5-11 20:24
学腾讯，用户自己发信息验证

可恶又上当了看到了二次元的世界

作者: Wyatt 时间: 2021-5-12 18:18
用的tx天御验证码 +一天同一手机号最多发5条

作者: 小白白 时间: 2021-5-12 18:24
同一手机号每天最多5条。然后ip也限制一下，在搞个验证码看看效果呗。

小公司一般足够了

作者: 镜子里的我 时间: 2021-5-12 18:31
加个验证就可以了。大网站都是图形验证

作者: tem 时间: 2021-5-12 18:54
自己看看大公司怎么搞的就知道了

作者: lhspang 时间: 2021-5-12 21:02

cnly1987 发表于 2021-5-11 21:55
这种直接买腾讯阿里的短信包就好了，
里面设置发送频率和发送次数限制。一个号码 3分钟一次，每天最多5 ...

买短信包还要设置短信模板，我们公司好像是自己申请的1069号段，短信内容是在代码中写的，所以是不是发任何东西都行

作者: cnly1987 时间: 2021-5-12 23:55

lhspang 发表于 2021-5-12 21:02
买短信包还要设置短信模板，我们公司好像是自己申请的1069号段，短信内容是在代码中写的，所以是不是发任 ...

模板很简单啊，你代码片段根据不同的逻辑填写模板编号就可以了。
而且你买了他们的短信包可以设置手机号码的频率，来源的频率，时间间隔，可发送次数等等，
免去滥用的烦恼

作者: hostloc@ 时间: 2021-5-13 00:15
提示: 作者被禁止或删除内容自动屏蔽

作者: micms 时间: 2021-5-13 00:28
最简单是cookies+ip限制条数

作者: 木易酱 时间: 2021-5-13 06:57
12306公司的解决方案是让用户发送短信，然后返回给用户验证码

作者: 晚烟如梦 时间: 2021-5-13 08:07
提示: 作者被禁止或删除内容自动屏蔽

作者: 88232128 时间: 2021-5-13 09:27
垃圾公司和垃圾程序员，正常人干不出这事儿

作者: 揽月 时间: 2021-5-13 09:47

cnly1987 发表于 2021-5-12 23:55
模板很简单啊，你代码片段根据不同的逻辑填写模板编号就可以了。
而且你买了他们的短信包可以设置手机 ...

你这什么用都没有，直接手机号段生成手机号，几十亿个手机号调用接口

作者: cnly1987 时间: 2021-5-13 10:11

揽月发表于 2021-5-13 09:47
你这什么用都没有，直接手机号段生成手机号，几十亿个手机号调用接口

他有那么多的IP？
别人可以来源限制的

作者: Geekman 时间: 2021-5-13 10:12

超兽发表于 2021-5-11 22:08
120w 报警送他们去吃免费饭一般这种都是有网站调用的查日志有些可能会留下Referer 最差也会留下刷短信 ...

头像不错~~

作者: a87750530 时间: 2021-5-13 11:01
图形验证码，或者中文验证码，滑动验证，邮箱验证，一个电话每天只能收5次，5次以后让用户发短信给你

作者: lhspang 时间: 2021-5-13 16:09

a87750530 发表于 2021-5-13 11:01
图形验证码，或者中文验证码，滑动验证，邮箱验证，一个电话每天只能收5次，5次以后让用户发短信给你 ...

现在就是加了图形验证码和每天5次的限制

作者: Ubuntu16 时间: 2021-5-14 15:44
换个方式

欢迎光临全球主机交流论坛 (https://443502.xyz/)