前言
短信轰炸和邮件轰炸是指攻击者可以通过脚本刷短信和邮件发送接口,从而持续的向用户发送短信和邮件,导致用户收到大量垃圾短信和邮件的一种攻击方式。
如何防范
防范处理策略就是在短信发送页面和邮件发送页面,加上图片验证码校验,防止短信和邮件接口被刷,形成轰炸。
具体策略如下:
- 在发送页面加上图片验证码校验;
- 验证码验证通过后,要立即失效,防止攻击者第一次人工识别后,然后一直复用该验证码;
- 必要情况下,可以对接口做频率限制,比如同一个IP,5分钟内可以操作多少次等;
ps:该验证码使用完必须立即失效掉,防止复用,形成轰炸,之前就见过有些公司,图片验证码使用过后,没有失效,导致接口被刷的例子。