这是一个创建于 3650 天前的主题,其中的信息可能已经有所发展或是发生改变。
前几天我们产品做了一次投票活动,为了防止刷票做了短信验证的限制。然后发现有人在我们这边发广告说可以代刷票,被我们干掉了,刷的票也直接减掉了。
可能断了刷票方的财路,现在刷票方不断的在捅我们的短信接口不断的消耗我们的短信,基本一分钟干掉上百条。请问大家有这种经验么,该怎么处理。
我们做了单 IP 不能获取超过 4 个验证码的限制,可是刷票方都是不同的 ip 不同手机号,完全不知道哪来的这么庞大的库。也有图形验证码限制。
第 1 条附言 2015-10-14 16:28:00 +08:00
更新一下,目前在获取短信的步骤前置了图形验证码验证,现在是好了。需要再观察一下看他们是否会破解图形验证码
 | 1 avichen 2015-10-14 11:22:48 +08:00 你这个问题,我们前几个月碰到过,后来在每个获取短信的页面前增加了页面输入验证码功能,避免了机器直接访问的请求 |
 | 2 heloman 2015-10-14 11:25:48 +08:00 一个粗略的思路:改成投票者发短信你们接收,实现方便的话可以搞 |
 | 5 WayneWangWM 2015-10-14 11:31:28 +08:00 @hicdn 这不就是 apple 么 |
 | 6 my101du 2015-10-14 11:32:41 +08:00  1 给你推荐两个内容,一个是移动的《防短信炸弹参考》,一个是我之前写的一点代码 http://pan.baidu.com/s/1bnqK9Tt http://www.itjiaoshou.com/express-sms-company-check-use-api/#toc_6 图形验证码如果是比较简单的,应该花点时间就破掉了,最近看到那种“滑动”的验证码,不知道有没有帮助 |
 | 7 TakanashiAzusa 2015-10-14 11:33:55 +08:00 @heloman 不是大厂的话,这么搞药丸。 |
 | 9 holmesabc 2015-10-14 11:37:21 +08:00 胖,最好的做法是改游戏规则。 |
 | 11 mornlight 2015-10-14 11:45:21 +08:00 最常见的滑动验证码是极验,你拿 SDK 集成进去就好。 |
 | 12 scys 2015-10-14 11:46:03 +08:00 验证码。。。。 |
 | 13 MrEggNoodle 2015-10-14 11:48:40 +08:00 希望楼主继续更新!告诉后续情况。 |
 | 14 cedared OP 1 @MrEggNoodle 好的 等我改完先 |
 | 15 gamexg 2015-10-14 11:53:20 +08:00 via Android 滑动验证更好破解啊,包括图片分类的验证也是很简单就可以破解。 |
 | 16 PandaSaury 2015-10-14 12:04:56 +08:00 1 、你们可以收集一个代理 IP 库 2 、例如:输入验证的时间,低于一秒。等类似的机器人判断 |
 | 17 RangerWolf 2015-10-14 12:12:06 +08:00 关注~ 求经验 |
 | 18 viesong 2015-10-14 12:24:19 +08:00 1 建议试试 SUBMAIL , submail 每个短信 APPID 都可以绑定自定义绑定 IP 地址, API 有主动防御机制,也就是当屏蔽非常高的验证码被刷屏之后,会触发 API 对被攻击的 APPID 请求的验证码号码进行过滤,安全级别 1-10 , API 会自动根据刷码攻击的级别对验证码模板进行安全级别设定。 主动防御机制激活后,验证码模板会对请求的号码通过频率、次数、时间进行判断,判定为为恶意刷码的号码主动加入临时黑名单,短信不会发出去,也不会造成计费。 可以试试 http://submail.cn/chs |
| 19 viesong 2015-10-14 12:30:44 +08:00 SUBMAIL 还有语音验证码,可以配合短信验证码做防刷码机制 |
 | 20 superkey 2015-10-14 12:34:00 +08:00 明显是验证码被破解了,弄个多位数复杂点验证码。 |
| 21 viesong 2015-10-14 12:44:54 +08:00 一些短信运营商肯定会让你加图片验证码做二次验证,但。。图片验证码根本不启作用,反而降低用户体验 |
 | 22 Yvette 2015-10-14 13:01:34 +08:00 via iPhone @WayneWangWM Apple 也有做呀,至少我遇到。倒是有候需要短信去 |
| 23 WayneWangWM 2015-10-14 14:12:41 +08:00 @Yvette iPhone 每天到店预约提货,就是这样的 |
 | 24 lshero 2015-10-14 14:14:15 +08:00 加一句"最终解释权归主办方所有,主办方有权取消数据异常用户的参赛资格" 然后随心所欲的减票就行了 |
 | 25 zts1993 2015-10-14 16:54:19 +08:00 绝大多数写的验证 IP 的都是有问题的,比如不能检测伪造 http 请求里面 ip 相关字段 |
| 26 RangerWolf 2015-10-15 17:53:18 +08:00 楼主,问一下你现在的状况如何,另外用的是哪个验证码 SDK? |
 | 27 gbooks 2015-10-15 21:37:35 +08:00 通常一般加验证码,和 ip 限制,实在不行加变态验证码(可以考虑急速验证类似的),给识别难度添加大。 |
 | 28 chonry 2017-03-28 10:24:43 +08:00 lz 可参考篇文章:短信验证码接口被恶意攻击怎么办?http://www.cr6868.com/html/xyxw/2709.html ,能够杜绝 95%的攻击情况。 |
 | 29 jianglong 2017-04-26 16:29:54 +08:00 我之前也遇到过这种现象,当时用的是 SUBMAIL 赛邮的短信通道,被刷了 10000 多,其实吧,我们自己 ip 限制和图形验证码都没加。好在找了 SUBMAIL 都补偿了。 |
Select Language