短信接口盗刷的防范措施

短信接口盗刷的防范措施:

背景：2017-11-16上午10：32分，手机突然收到报警，提示阿里控制台短信服务当天短信阈值已经达到上限，无法发送短信。第一反应就是，我曹，难道我的产品线用户注册量激增？3秒钟之后，脑子冷静了一下，那是不可能的，最大可能性就是短信接口被搞了！！

攻击方式：对方拿到我们APP抓包之后，拿到url地址，模拟提交数据，使用不正当手段进行接口调用；

宗旨：以下这些措施并不能从根本上方法，但可以加大对方的使用成本，提高模拟数据难度，最大程度上进行防范；

方法：

第一时间就Google一下，网上说的那些通用方式不再赘述，数字验证码（暴力破解），图形验证（效果还可以，也存在暴力破解），IP限制（对方IP可以随意调整），同一个手机号发送次数验证（随笔调整手机号）等等方式，能一定程度上进行缓解，但是不能最大程度上解决问题；

以下方式是在以上基础上进行改良之后，在不同场景之下进行不同的策略：

1、后端增加IP黑名单，这个可以在第一时间内进行IP封禁，起到暂时防护作用；

使用场景：当发现短信接口被盗刷之后，要是产品线过多，第一时间内并不能针对每个产品先进行改良，最简单的办法，先在后端加一个IP封禁库，看到对方请求接口IP之后，直接先封了再说，这个是你的短信接口第一次遇见盗刷的最快速的解决办法，虽然对方可能有代理，可能会随时改变IP，但是一般的如果不是有针对性的搞你的话，这个办法还是可以的，但是这个不是最终解决办法，只是为你争取改进时间而已；

2、前后端进行加密算法双向验证，推荐一种加密方式，base64(rsa(数据格式自己约定))，加密算法不可泄露；

使用场景：在网上找了各种各样的防范机制之后，发现都不是很尽人意，给对方并不会带来很大成本上的提高。而做这些防范措施的目的就是最大程度上给对方提高使用成本，如果对方盗刷你的接口的成本比他得到的利益要高，那么对方自然而然就不会搞你了。

3、一定时间范围对内同一个手机号验证码发送次数限制（一天内一个平台一个手机号最多发送3次），这样即便是对方抓包，模拟发送同一个加密后的token，也可以最大程度上减少短信消耗量；

使用场景：这个是在第二种方式的基础上进行严格判断，当对方抓包之后，模拟提交同一个数据，这个后端就需要对同一个数据进行处理，同一个手机号或者时间进行判断。