公司的商城網站剛上線運營不到一個星期，網站就被***了，導致公司網站的簡訊通道被人惡意刷了幾萬條簡訊，損失較大，同時伺服器也遭受到了前所未有的***。CPU監控看到網站在被盜刷簡訊驗證碼的時候，CPU一直保持在%95，網站甚至有些時候都無法開啟。

網站被***後我登入了阿里雲進去看了下，受到了很多阿里雲提示的安全提醒，阿里雲竟然沒有給我攔截，我打電話諮詢阿里雲，阿里雲竟然說我沒有購買他們的雲防火牆，阿里雲客服還一再的推銷讓我們公司購買他們的雲防火牆來防止簡訊驗證碼***，本身我也是做技術出身的，還是懂一些程式碼以及安全方面的，公司領導立即開會研究這個問題該如何解決，任命我帶頭負責處理此次的安全問題。

首先關於網站簡訊驗證碼被盜刷，從多個層面去分析漏洞產生的原因，基礎頻寬線路層，伺服器層，網站層，三個方面去分析解決問題。

基礎頻寬應用層是：像DDOS，CC,頻寬流量的***屬於基礎頻寬，如果網站遭受到***，網站打不開，開啟無法顯示一般都是基礎頻寬應用層受到了***，防禦辦法也是通過高防伺服器的硬防來防止***，但是也會造成誤封，多層流量清洗防止***。

伺服器層面，伺服器被***的話，一般也會造成簡訊驗證碼盜刷，***者***伺服器，並在伺服器裡直接與簡訊驗證碼平臺通訊傳送資料，多頻率的傳送，修改資料庫，都會造成簡訊驗證碼的盜刷。

網站層，經過多年的技術開發與安全接觸，簡訊驗證碼被盜刷，都是網站存在漏洞導致的，尤其寫的程式碼並沒有對請求的次數，以及請求的函式，請求IP，進行安全過濾，這次公司商城網站被盜刷簡訊很大一部分原因是程式碼上的漏洞，程式碼開發有問題，先從程式碼入手檢視問題，檢查了所有關於獲取簡訊驗證碼呼叫的程式碼，在一個會員找回密碼功能這裡，我們發現了問題，程式碼裡竟然沒有對請求的次數，頻率，IP，進行限制，導致***者利用該頁面功能，POST偽造函式多次請求找回密碼頁面，導致簡訊被刷，瞬時間伺服器都會遭受壓力，CPU達到百分之95.針對這個漏洞，我們對程式碼漏洞進行了修復，限制請求次數，頻率，手機號碼唯一性判斷，IP判斷驗證等等的安全策略來阻止簡訊驗證碼被盜刷。

至此簡訊被盜刷的問題得以解決，網站程式碼的開發環節真的很重要，在網站上線之前一定要對網站的安全進行測試，許多程式設計師在開發程式碼的時候只顧功能並不會考慮到安全問題，甚至有些程式設計師的安全意識很薄弱，導致程式碼出現sql注入漏洞，XSS跨站漏洞，資料庫漏洞，等等問題，如果不懂如何修復網站漏洞，也可以找專業的網站安全公司來處理，國內也就Sinesafe和綠盟、啟明星辰等安全公司比較專業.