前几天我们产品做了一次投票活动,为了防止刷票做了短信验证的限制。然后发现有人在我们这边发广告说可以代刷票,被我们干掉了,刷的票也直接减掉了。
可能断了刷票方的财路,现在刷票方不断的在捅我们的短信接口不断的消耗我们的短信,基本一分钟干掉上百条。请问大家有这种经验么,该怎么处理。
我们做了单 IP 不能获取超过 4 个验证码的限制,可是刷票方都是不同的 ip 不同手机号,完全不知道哪来的这么庞大的库。也有图形验证码限制。
1
avichen 2015-10-14 11:22:48 +08:00
你这个问题,我们前几个月碰到过,后来在每个获取短信的页面前增加了页面输入验证码功能,避免了机器直接访问的请求
|
2
heloman 2015-10-14 11:25:48 +08:00
一个粗略的思路:改成投票者发短信你们接收,实现方便的话可以搞
|
5
WayneWangWM 2015-10-14 11:31:28 +08:00
@hicdn 这不就是 apple 么
|
6
my101du 2015-10-14 11:32:41 +08:00 1
给你推荐两个内容,一个是移动的《防短信炸弹参考》,一个是我之前写的一点代码
http://pan.baidu.com/s/1bnqK9Tt http://www.itjiaoshou.com/express-sms-company-check-use-api/#toc_6 图形验证码如果是比较简单的,应该花点时间就破掉了,最近看到那种“滑动”的验证码,不知道有没有帮助 |
7
TakanashiAzusa 2015-10-14 11:33:55 +08:00
@heloman 不是大厂的话,这么搞药丸。
|
9
holmesabc 2015-10-14 11:37:21 +08:00
胖,最好的做法是改游戏规则。
|
11
mornlight 2015-10-14 11:45:21 +08:00
最常见的滑动验证码是极验,你拿 SDK 集成进去就好。
|
12
scys 2015-10-14 11:46:03 +08:00
验证码。。。。
|
13
MrEggNoodle 2015-10-14 11:48:40 +08:00
希望楼主继续更新!告诉后续情况。
|
14
cedared OP @MrEggNoodle 好的 等我改完先
|
15
gamexg 2015-10-14 11:53:20 +08:00 via Android
滑动验证更好破解啊,包括图片分类的验证也是很简单就可以破解。
|
16
PandaSaury 2015-10-14 12:04:56 +08:00
1 、你们可以收集一个代理 IP 库
2 、例如:输入验证的时间,低于一秒。等类似的机器人判断 |
17
RangerWolf 2015-10-14 12:12:06 +08:00
关注~ 求经验
|
18
viesong 2015-10-14 12:24:19 +08:00 1
建议试试 SUBMAIL , submail 每个短信 APPID 都可以绑定自定义绑定 IP 地址, API 有主动防御机制,也就是当屏蔽非常高的验证码被刷屏之后,会触发 API 对被攻击的 APPID 请求的验证码号码进行过滤,安全级别 1-10 , API 会自动根据刷码攻击的级别对验证码模板进行安全级别设定。
主动防御机制激活后,验证码模板会对请求的号码通过频率、次数、时间进行判断,判定为为恶意刷码的号码主动加入临时黑名单,短信不会发出去,也不会造成计费。 可以试试 http://submail.cn/chs |
19
viesong 2015-10-14 12:30:44 +08:00
SUBMAIL 还有语音验证码,可以配合短信验证码做防刷码机制
|
20
superkey 2015-10-14 12:34:00 +08:00
明显是验证码被破解了,弄个多位数复杂点验证码。
|
21
viesong 2015-10-14 12:44:54 +08:00
一些短信运营商肯定会让你加图片验证码做二次验证,但。。图片验证码根本不启作用,反而降低用户体验
|
22
Yvette 2015-10-14 13:01:34 +08:00 via iPhone
@WayneWangWM Apple 也沒有這樣做呀,至少我沒遇到過。騰訊倒是有時候需要發短信過去
|
23
WayneWangWM 2015-10-14 14:12:41 +08:00
@Yvette iPhone 每天到店预约提货,就是这样的
|
24
lshero 2015-10-14 14:14:15 +08:00
加一句"最终解释权归主办方所有,主办方有权取消数据异常用户的参赛资格"
然后随心所欲的减票就行了 |
25
zts1993 2015-10-14 16:54:19 +08:00
绝大多数写的验证 IP 的都是有问题的,比如不能检测伪造 http 请求里面 ip 相关字段
|
26
RangerWolf 2015-10-15 17:53:18 +08:00
楼主,问一下你现在的状况如何,另外用的是哪个验证码 SDK?
|
27
gbooks 2015-10-15 21:37:35 +08:00
通常一般加验证码,和 ip 限制,实在不行加变态验证码(可以考虑急速验证类似的),给识别难度添加大。
|
28
chonry 2017-03-28 10:24:43 +08:00
lz 可参考篇文章:短信验证码接口被恶意攻击怎么办?http://www.cr6868.com/html/xyxw/2709.html ,能够杜绝 95%的攻击情况。
|
29
jianglong 2017-04-26 16:29:54 +08:00
我之前也遇到过这种现象,当时用的是 SUBMAIL 赛邮的短信通道,被刷了 10000 多,其实吧,我们自己 ip 限制和图形验证码都没加。好在找了 SUBMAIL 都补偿了。
|