2. 程式人生 > >臭名昭著的手機驗證碼功能是如何實現的

臭名昭著的手機驗證碼功能是如何實現的

阿新 發佈:2020-04-17

前言

現在基本上各種手機APP註冊都會用到手機驗證碼,包括一些PC端網站也會使用手機號作為唯一標識驗證!

恰巧,小明的老闆,讓其開發一個使用者註冊的功能,並且強制使用者註冊繫結手機,美其名曰為了提升安全性,呵呵噠,就是為了多擼一點使用者資訊。

案例

一般來說,傳送手機驗證碼不能過於頻繁,前端傳送按鈕點選後一般會有一個60秒倒計時的功能。也就是說,如果使用者點擊發送一直沒有收到驗證碼,只能60秒之後才可以進行重發。

那麼問題來了,如果使用者繞過前端,直接向後臺API傳送簡訊請求,然後寫個無限迴圈指令碼,相信不久你的簡訊賬戶就會發來預警提示簡訊(一般來說大的簡訊商都有預警設定功能)。

其實很簡單,你只需要F12

,檢視傳送請求就可以查找出後臺請求地址,然後你可以在控制檯輸入相關JS程式碼,執行個十萬遍,是不是很爽?

這裡以七牛云為測試案例,開啟註冊頁面,F12進入除錯模式,輸入手機號,手動點擊發送,獲取其簡訊傳送後臺請求地址。下面是七牛雲的一個簡訊傳送請求,擼主測試了一下,顯然沒有達到擼主的預期,畢竟是大廠,防禦措施還是做的很牛逼的。

以下是JS指令碼,複製貼上到控制檯回車就可以執行:

var data = {"operation":1,"is_voice":false,"mobile_number":"17762018888","captcha_type":2};
for (var i = 0; i < 10; i++) {
    $.ajax({
        type: 'POST',
		contentType: 'application/json;charset=UTF-8',
        data:JSON.stringify(data),
        url: 'https://portal.qiniu.com/api/gaea/verification/sms/send',
        success: function(data) {
            console.log(data)
        }
    });
}

控制檯返回以下資訊,前三次請求成功,後面的就出現了驗證碼校驗並進行了限流操作。

{"code":200,"message":""}
{"code":200,"message":""}
{"code":200,"message":""}
{"code": 7209,"message":"captcha required"}
{"code": 7209,"message":"captcha required"}
{"code": 429,"message":"too many requests"}
{"code": 429,"message":"too many requests"}
{"code": 429,"message":"too many requests"}
{"code": 429,"message":"too many requests"}
{"code": 7209,"message":"captcha required"}

擼主嘗試重新整理頁面,隨便輸了一個手機號,再次點擊發送,提示使用者輸入驗證碼,顯然是加強了防備,觸發了惡意請求認證攔截機制。

安全機制

對於開發者來說,他們不僅要考慮使用者正常獲取驗證碼的體驗還要考慮簡訊介面的安全性,擼主總結了以下幾點,希望對大家有所幫助。

  • 後臺請求限流,對單位時間內傳送頻率做限制。
  • 驗證碼機制,切記不要一開始就限制驗證碼,體驗及其不友好,觸發限流以後開啟驗證碼校驗。
  • 監控日傳送簡訊數量,觸發一定的閾值做相應的處理,根據實際業務需求。
  • 驗證碼儲存一定要保證key為手機號,切記不要以其它標識作為key,比如sessionId
  • 一定要設定驗證碼失效時間,比如五分鐘,或者更短。
  • 驗證碼儘量保證短小精悍,四到六位即可。
  • 如果後臺不做限制,切記前臺一定要做個倒計時的限制,至少過濾一部分小白使用者。

程式碼案例

給小夥伴分享一個簡單的驗證碼生成、儲存、失效程式碼案例:

import com.google.common.cache.CacheBuilder;
import com.google.common.cache.CacheLoader;
import com.google.common.cache.LoadingCache;

import java.util.concurrent.ExecutionException;
import java.util.concurrent.TimeUnit;

public class Mobile {
    /**
     * 測試方便,這裡設定了3秒失效
     */
    private static LoadingCache<String, String> caches = CacheBuilder.newBuilder()
            .maximumSize(1000)
            .expireAfterWrite(3, TimeUnit.SECONDS)
            .build(new CacheLoader<String, String>() {
                @Override
                public String load(String mobile) {
                    return "";
                }
            });

    public static void main(String[] args) throws ExecutionException, InterruptedException {
        Integer code = (int)((Math.random()*9+1)*100000);
        caches.put("17762018888",code.toString());
        System.out.println(caches.get("17762018888"));
        Thread.sleep(4000);
        System.out.println("是不是沒了:"+caches.get("17762018888"));
    }
}

小結

重要的功能必須進行前後端校驗,必要的時候一定要做好限流、黑名單等騷操作!!!

相關推薦

臭名昭著手機驗證功能是如何實現

前言 現在基本上各種手機APP註冊都會用到手機驗證碼,包括一些PC端網站也會使用手機號作為唯一標識驗證! 恰巧,小明的老闆,讓其開發一個使用者註冊的功能,並且強制使用者註冊繫結手機,美其名曰為了提升安全性,呵呵噠,就是為了多擼一點使用者資訊。 案例 一般來說,傳送手機驗證碼不能過於頻繁,前端傳送按鈕點選後

java實現手機驗證功能

java實現給手機發送驗證碼,是需要平臺的支援的這裡我使用的是http://user.ihuyi.com/互億的簡訊服務 大家可以註冊一個賬號http://user.ihuyi.com/register.htmls這裡是比較簡單的實現大家可以根據自己的需求自行編寫 import org.a

thinkphp實現傳送手機驗證功能

     php實現傳送手機驗證碼功能如下: //傳送手機驗證碼 public function sendPhoneCodeMessage(){ vendor('SendPhoneCode.SendCode','','.php

java實現傳送手機驗證功能

2. 註冊好之後,點選 使用者中心 -> 賬戶管理,就會進入如下介面 (順便提一下,新註冊的使用者,平臺會免費贈送你10元,足夠大家學習和使用了,所以不用擔心需要充錢)  你需要做的就是獲取你自己的 ACCOUNT SID 和 AUTH TOKEN 3. 需要

圖片驗證功能實現

自定義圖片驗證類 import os import time import random from PIL import Image, ImageDraw, ImageFont class Captcha(object): def __init__(self, request):

TP5 驗證功能實現

功能開發 1).引入第三方擴充套件包 進行 TP5 的開發,Composer 的使用會成為重要技能  以windows為例子,輸入命令: composer require topthink/think-captcha 1 完成上述操作,會在以下目錄中出現 captcha

【java】Java驗證功能實現

一、前言       驗證碼可以說在我們生活中已經非常普遍了,任何一個網站,任何一個App都會有這個功能,但是為啥要有這個呢?如何做才能做出來呢?下面小編會帶領大家一起用java完成一個驗證碼的功能。 二、驗證碼的作用       一般可以防止有人利用機器

java數字驗證功能實現

以前實習時候積累的一些功能性程式碼,志在幫助一些剛入坑的程式設計師,同時也是給自己做個筆記,如果有好的相關技術或外掛,希望提出讓博主學習。 編寫一個產生驗證碼的number.jsp檔案: <%@

Java手機驗證實現

接入手機驗證碼的實現需要第三方平臺提供的介面 這裡我使用的是 美聖 的,這種平臺有很多,大家自行選擇,比如網易雲,容聯等等,都有免費的簡訊數量以供測試,介面不一樣,實現的方式大同小異 下面是我實現的程式碼片,供參考 這是一個測試類 基於http

jsp登入驗證功能實現

package com.coffee.action; import java.awt.Color; import java.awt.Font; import java.awt.Graphics; import java.awt.Graphics2D; import java.awt.image.Buffere

django--驗證功能實現

save size 路由 登錄 session range 需要 圖片庫 spa 首先建立驗證碼的視圖函數1需要安裝pillow庫 #導入繪圖庫 from PIL import ImageDraw #導入繪圖字體庫 from PIL import ImageFo

SpringSceurity(4)---簡訊驗證功能實現

# SpringSceurity(4)---簡訊驗證碼功能實現 有關SpringSceurity系列之前有寫文章 1、[SpringSecurity(1)---認證+授權程式碼實現](https://www.cnblogs.com/qdhxhz/p/12755627.html) 2、[SpringSec

java調介面實現傳送手機簡訊驗證功能,手機驗證,介面呼叫

近來由於專案需要,需要用到手機簡訊驗證碼的功能,其中最主要的是用到了第三方提供的簡訊平臺介面WebService客戶端介面,下面我把我在專案中用到的記錄一下,以便給大家提供個思路,由於本人的文采有限,還請大家見諒! 一:首先上幾張案例截圖,以便大家可以瞭

註冊/找回密碼等功能中傳送手機驗證後倒計時效果的實現(基於vue)

註冊/找回密碼等功能中傳送手機驗證碼後倒計時效果的實現,基於vue、element-ui<template> <el-button size="small" type="prima

Spring Security-- 驗證功能實現

turn stringbu overflow .net 內容 一個 子類 異常 too spring security4 添加驗證碼 http://www.itwendao.com/article/detail/165400.html http://www.itdada

php實現簡單的驗證功能

mage isset pat ech ace ring bcd ont es2017 1.根據php中的GD庫對圖片進行處理,繪制出驗證碼的圖片,code.php中2.表單界面,簡單的session保存及與用戶輸入對比,確定是否驗證正確,form.php中<?php

Tornado框架實現圖形驗證功能

tor length turn 黑客 body world 工作流 params fun 圖形驗證碼是項目開發過程中經常遇到的一個功能,在很多語言中都有對應的不同形式的圖形驗證碼功能的封裝,python 中同樣也有類似的封裝操作,通過繪制生成一個指定的圖形數據,讓前端HTM

Python使用Timer實現驗證功能

input thread sel def AC check cache IT imp from threading import Timer import random class Code: def __init__(self): s

Spring中整合Cage,實現驗證功能

ger 類型 body match exce sub pom esp rec 1.pom.xml中添加Cage依賴。 <dependency> <groupId>com.github.cage</groupId

node.js使用superagent實現模擬登陸功能(包含下載驗證功能

ssa split 輸入 spa code ike utf RM lang superagent版本:3.8.3 樣例代碼: var process = require(‘process‘); var superagent = require(‘superagent‘);