确认可以正常识别验证码后,对账号、密码进行爆破。
- • 在资金提现、转账、充值、修改银行卡、修改密码等的重要操作,验证码可以启到防账户盗用、篡改账户、的作用;
- • 如果网站有提交表单的功能,并且需要由站点管理员审核才可通过,恶意用户会产生大量的垃圾表单,影响网站访问速度,加大工作量,且合法用户的请求有可能会因此被拒绝服务;
- • 恶意用户可利用程序发送短信/邮件的功能,发送大量垃圾邮件/短信,造成短信/邮件轰炸,影响用户体验及站点短信服务过度消费;
- • 通常在网站的用户注册、密码找回、登录等页面处使用验证码,但当这些验证码具有一定的规律性并且没有做好对应的防护措施时会导致攻击者通过爆破等方式猜解/绕过验证码机制,可导致任意用户注册、批量注册无用账户、重置任意用户密码、获取系统权限等危害。
- • 系统易遭受DDOS攻击;
- • 机器人自动批量注册;
- • 对特定的注册用户用特定程序爆破方式进行不断的登录、“灌水”、“刷单”、短信/电子邮件轰炸等;
- 1. 不要把验证方式置于前端,手机号和短信验证码在服务端进行唯一性绑定验证;
- 2. 在服务端限制短信验证码发送周期,设置时效性,限制发送次数;
- 3. 封禁的应该是恶意请求的手机号而不是IP地址,对一天内每一个手机号获得的验证码次数进行限制;
- 4. 手机验证码生成6位或者以上的数字 字母组合的验证码,并且保证用后即失效;
- 5. 禁止用户自定义短信内容;
- 6. 在服务器进行有效验证,手机号和验证码在服务器进行唯一性绑定验证等。
from https://mp.weixin.qq.com/s/0_kCK5AggNYHCcNzMSQAtg
