网站该如何应对手机短信验证码盗刷问题？

互联网的浪潮高过了一波有一波，现在的企业不管三七二十一先申请一个域名如何开发一个企业网站，所以大量的网站、手机app和小程序等都在使用手机短信验证码作为验证用户身份的安全技术措施。在电商节和节假日期间，企业的促销、抽奖、互动活动等也让会员营销短信迎高峰期，生活中企业与用户之间用到短信的场景非常频繁。

但根据速码云多年的服务经验来看，企业手机短信验证码遭到盗刷的现象也不在少数。曾经出现不少企业用户业务的手机短信验证码功能被攻击，短信接口被恶意利用，导致业务无法正常访问的情况。此外，短信遭受盗刷也会造成企业营销和运营资金的流失。

第一、防止手机短信验证码盗刷，需要注意三方面：

第一：需警惕网站在线注册页面，网站在线找回密码页面，手机短信动态密码登录页面等场景。

第二：需警惕微信投票、在线投票、H5投票等场景。

第三：需警惕场景有活动领券页面、参与活动页面等场景。

手机短信验证码功能被攻击的危害比想象中更大，企业用来防止恶意注册登录的手机短信验证码，也会把攻击吸引过来，攻击手机短信验证码功能一般直接导致企业的短信接口被“刷”。容易发生短信接口被“刷”的业务场景，总结来说，就是以下三大类：

账号注册

账号登陆

账号密码找回

第二、当短信接口被刷时，对于企业而言，主要有以下危害：

发送短信的请求并发太高导致服务器负载增加，严重情况下会直接导致服务器的资源被耗尽，服务器无法响应短信发送的请求；

发送短信的请求并发太高，导致正常用户无法使用短信验证服务；

被盗刷的短信会消耗短信条数，企业不得不重新购买，运营资金成本无形增加。

第三、八招防范短信接口被刷

对于短信盗刷的问题，其实企业也不必过度担心，下面有个防范短信接口被刷的放大

1.手机号码的有效性和真实性检测

在注册登录窗口增加号码的真实性和有效性检测，防止恶意盗刷者使用无效的或非法的号码，第一时间屏蔽乱码数字的号码。

2.隐藏的验证码随机校验

在注册页添加个隐藏的的随机验证码，发短信前验证一下，确保手机短信验证码的请求是在真实的页面上点击。

3.增加一些简单的图形验证码

在用户进行“获取动态短信”操作前，先让用户识别图片验证码，通过图形验证后，才能将动态的手机短信验证码发送到用户手上，，该方法可有效缓解短信轰炸问题。

由于当前验证码在攻防对抗中逐步被成功自动化识别破解，我们在选用安全的图形验证码也需要满足一定的防护要求。

4.同号码短信发送频率限制

一般来说，无论是短信服务商还是企业，都应该设置同一号码的手机短信验证码请求限制，当单个用户请求发送一次动态短信之后，服务器端应该限制在一定时长之后（此处一般为30-60秒），才能进行第二次动态短信请求。该功能可进一步保障用户体验，避免包含手动攻击恶意发送垃圾验证短信。

5.不同号码请求数量限制

根据业务特点，针对不同手机号码、不同访问源IP访问请求进行频率限制，防止高并发非法请求消耗更多的短信包和服务器性能，提高业务稳定性。

6.场景流程限定

将手机短信验证码和用户名密码设置分成两个步骤，用户在填写和校验有效的用户名密码后，下一步才进行手机短信验证，并且需要在获取第一步成功的回执之后才可进行校验。

7.启用https协议

为网站配置证书，启用https加密协议，防止传输明文数据被分析。

8.单IP请求限定

同一IP和同一手机号码一样，当某个IP地址请求发送一次动态手机短信验证码之后，服务器端应该限制在一定时长之后（此处一般为30-60秒），才能进行第二次动态短信请求。同时设置同一天同一IP的手机短信验证码请求次数限制，免攻击者通过同一个 IP 盗刷大量的企业手机短信验证码条数。

任何事情都需要一定的安全防控措施，企业可以根据业务的实际情况考虑，从以上的8个方法中选择并组合成最适合自身的最佳方案，防止手机短信验证码接口被盗刷。并且提高技术人员在实际活动中的安全意识，提前防范风险。