短信驗(yàn)證碼作為用戶的一種安全驗(yàn)證手段，已經(jīng)在各類手機(jī)APP、各大銀行和各種網(wǎng)站上廣泛使用。短信驗(yàn)證碼的目的就是安全，可在日常使用中仍會(huì)遭受到一些惡意攻擊，無論是企業(yè)還是個(gè)人都會(huì)因此造成一些損失。

通常短信驗(yàn)證碼受到攻擊的情況有兩種：一種情況是惡意刷取目標(biāo)網(wǎng)站的短信驗(yàn)證碼費(fèi)用，經(jīng)常會(huì)遭到攻擊的地方是用戶注冊(cè)頁面，以及驗(yàn)證碼快速登錄頁面和在線投票等頁面。而另一種則是針對(duì)某個(gè)手機(jī)號(hào)碼進(jìn)行攻擊，騷擾機(jī)主的生活。那為了避免這樣的事情發(fā)生該怎樣防范呢？

1、可以讓供應(yīng)商把短信驗(yàn)證碼接口綁定一個(gè)或多個(gè)服務(wù)器IP，當(dāng)出現(xiàn)以外的服務(wù)器后就會(huì)報(bào)錯(cuò)。

2、在手機(jī)號(hào)碼的窗口添加檢測(cè)號(hào)碼有的效性，屏蔽亂碼等非手機(jī)的無效數(shù)字，及時(shí)制止攻擊者使用的非法或無效號(hào)碼。

3、改變一般的驗(yàn)證碼發(fā)送流程，在用戶注冊(cè)時(shí)，可以在用戶輸入手機(jī)號(hào)之后，先設(shè)置密碼，設(shè)置成功后再出現(xiàn)點(diǎn)擊發(fā)送驗(yàn)證碼，這樣的流程會(huì)使攻擊者的成本增加，可以大概率減少攻擊。

4、為了避免客戶被盜賬號(hào)的情況，可以讓短信服務(wù)商的短信接口對(duì)任意時(shí)間段的任意短信條數(shù)進(jìn)行限制，或者提供預(yù)警。比如客戶新上線的一款A(yù)PP，日發(fā)送短信條數(shù)上限是一萬條。

5、限制同一號(hào)碼的短信發(fā)送頻率，可以限制動(dòng)態(tài)驗(yàn)證碼的重復(fù)發(fā)送時(shí)長間隔，當(dāng)單一用戶請(qǐng)求發(fā)送動(dòng)態(tài)驗(yàn)證碼之后，服務(wù)器可限制在一定時(shí)長，通常是60~120秒之后才能進(jìn)行第二次發(fā)送。該方法可進(jìn)一步保障用戶體驗(yàn)，避免惡意發(fā)送垃圾驗(yàn)證短信等惡意攻擊。

比如客戶端可以做如下操作

1當(dāng)同一個(gè)手機(jī)號(hào)，連續(xù)請(qǐng)求2次，可在終端由交互樣式阻礙用戶持續(xù)請(qǐng)求；

2當(dāng)同一手機(jī)號(hào)連續(xù)請(qǐng)求，則15分鐘內(nèi)為同一驗(yàn)證碼；

3當(dāng)同一手機(jī)號(hào)的請(qǐng)求，每天超過20次請(qǐng)求，則可直接先拒絕其接下來的請(qǐng)求；

4對(duì)于同一種驗(yàn)證類型，如忘記密碼，注冊(cè)等，3次填入驗(yàn)證碼錯(cuò)誤，則驗(yàn)證碼失效；

綜上所述，希望對(duì)您而言能起到好作用，另外，用戶增強(qiáng)自我防范意識(shí)也是必要的。