从Web2.0到移动互联网时代后，越来越多的产品功能开始使用短信验证功能，注册/登录/密码找回/支付.. ，可以说短信服务（接口）已经成为最重要的技术基础设施之一。也正是因为重要，越来越多的恶意攻击事件开始围绕着短信接口进行，很多团队也因此踩过坑。所以，今天梳理一下常用的短信攻击防范措施，供大家参考。

一，身份验证

1. 图形校验码和手机验证码进行绑定，当用户输入手机号码以后，需要输入图形校验码或者根据图形进行某种逻辑运算（比如25 + 壹 = ？）才可以触发短信，这样能比较有效的防止软件恶意点击。

2. 触点验证：让用户选择某个指定的某些图标或文字，典型案例有12306火车售票，不过用户体验会受到比较大的影响，效率和安全很多时候就是一对矛盾体。特别是要求选择的物品比较奇葩的时候，在某种程度上“伤害”了最普通的用户。-_-!

对于普通的图形验证码容易被各种暴力机械破解，而滑动验证只能监听鼠标动作，不能通过数据验证，达到防止机械破解的作用。

以上三种做法，都有现成的开源类库作为参考，可以在上面根据自身的情况做二次开发。

二，业务流程限定

通过设定特定的业务流程来阻止攻击脚本，比如以下两个方案：

1. 将流程进行一分为二，先进行业务操作，再进行短信验证。例如，将手机短信验证和用户名注册分成两个步骤，用户在注册成功用户名密码后，下一步才进行手机短信验证。简单来说，拿不到新用户的身份信息，短信是不会触发成功的。

2. 必须填写相关信息才能触发短信，例如，用户必须填写好所有注册信息才可进行触发，注册资料不完整无法发送验证码。

三，触发限制

通过挖掘和限定非正常的用户行为，对短信的触发进行管控，一般有以下三类做法：

1. 发送间隔设置，设置同一号码重复发送的时间间隔，一般设置的间隔为60-120秒；

2. 触发IP限定，设置每个IP每天的最大发送量；

3. 发送量限定，设置每个手机号码每天的最大发送量；

除此之外，请在验证码内容加上退订操作，如：回复TD拒收；退订回复TD等相关内容。当非用户触发接收的短信，用户回复TD以后，平台将会将其列入拒发数据库，将会停止对该号码发送。

除此之外，如果你遇到有棘手的短信攻击问题，可以给我留言，大家一道讨论。

扫描二维码或手动搜索微信公众号【架构栈】： ForestNotes

欢迎转载，带上以下二维码即可

点击“阅读原文”，所有【架构栈】近期的架构文章汇总