IP做了限制,每天的發送數量也做了限制,還有什麼辦法啊
是不是驗證碼太簡單的原因。
我覺得這個是有專門的軟體刷的。但現在不知道怎麼辦了
走同样的路,发现不同的人生
我覺得你的程式是不是有bug,首先要排查一下什麼問題出在了哪裡1.更換個更難分辨的英文數字混雜的驗證碼,圖形驗證碼正確後才發短信,檢測到驗證碼輸入錯誤後立刻刷新驗證碼2.後台統計一下各個ip段每天觸發接口的數量是否和限制數一致3.也要限制每個手機號碼每天的發送數量
驗證碼應該可以防掉一大片了,難道別人花錢專門來影像辨識
你司既然對同一IP某一時間段內發送的短信數量上限進行了限制,那麼這已經是滿足基本限制了。再加上驗證碼,基本上沒毛病了。
這邊提個建議,你可以嘗試將限制規則改為:對同一手機號碼,在半小時內最多發送5條短信。當然,這個30分鐘、5條靈活變動喔。
這種純數字的驗證碼確實太過簡單,我以前用python寫過爬蟲,能識別出這種驗證碼,建議加上英文字母.另外,想想是不是自己網站有漏洞,是否有方法可以繞開驗證碼直接訪問短信接口.還可以通過根據對方的請求頭信息來拒絕訪問,例如當User-Agent不是來自瀏覽器的時候,不過大多數爬蟲都能通過這個偽裝成瀏覽器.
惡意刷的話,才幾千條,不算多吧,感覺不是惡意刷的量級
不過驗證碼確實太簡單了,而且全是數字。可是,換個複雜一點兒的驗證碼也沒有太大的意義,現在辨識驗證碼的軟體正確率都很高。過於複雜的又影響使用者體驗。最可怕的是,他們可以選擇手動識別驗證碼。 。 。就是寫一個腳本,做個介面,只顯示驗證碼和一個輸入框,然後再加入一些方便快速輸入的按鍵,人要做的就是識別驗證碼,其他的就是腳本去做了。
幾千條應該不算很多。 首先你是怎麼得知被惡意刷的,網站是否有其他漏洞(這個可能性比較大)
不知道你這是什麼系統,我們是這樣:1:用戶名和密碼輸入正確才會下發短信驗證碼2:同一用戶,一天限制次數。超過之後是鎖帳號,還是不再校驗簡訊驗證碼看業務要求。
總之,簡訊驗證碼是能不發就不發...
試試阿里的JAQ,風險識別,擋機器人專用的
首先當務之急是確定問題,你要確定是否是惡意刷還是程式錯誤還是正常情況。最好的判斷方法是日誌。
短息服務商那邊應該有日誌,如果沒有,則需要你自己寫一個日誌。確定問你題性質才能有解決方案。
如果目標不重複,ip不重複,幾千條也不能說是惡意的。
我覺得你的程式是不是有bug,首先要排查一下什麼問題出在了哪裡
1.更換個更難分辨的英文數字混雜的驗證碼,圖形驗證碼正確後才發短信,檢測到驗證碼輸入錯誤後立刻刷新驗證碼
2.後台統計一下各個ip段每天觸發接口的數量是否和限制數一致
3.也要限制每個手機號碼每天的發送數量
驗證碼應該可以防掉一大片了,難道別人花錢專門來影像辨識
你司既然對同一IP某一時間段內發送的短信數量上限進行了限制,那麼這已經是滿足基本限制了。再加上驗證碼,基本上沒毛病了。
這邊提個建議,你可以嘗試將限制規則改為:對同一手機號碼,在半小時內最多發送5條短信。當然,這個30分鐘、5條靈活變動喔。
這種純數字的驗證碼確實太過簡單,我以前用python寫過爬蟲,能識別出這種驗證碼,建議加上英文字母.
另外,想想是不是自己網站有漏洞,是否有方法可以繞開驗證碼直接訪問短信接口.
還可以通過根據對方的請求頭信息來拒絕訪問,例如當User-Agent不是來自瀏覽器的時候,不過大多數爬蟲都能通過這個偽裝成瀏覽器.
惡意刷的話,才幾千條,不算多吧,感覺不是惡意刷的量級
不過驗證碼確實太簡單了,而且全是數字。可是,換個複雜一點兒的驗證碼也沒有太大的意義,現在辨識驗證碼的軟體正確率都很高。過於複雜的又影響使用者體驗。最可怕的是,他們可以選擇手動識別驗證碼。 。 。就是寫一個腳本,做個介面,只顯示驗證碼和一個輸入框,然後再加入一些方便快速輸入的按鍵,人要做的就是識別驗證碼,其他的就是腳本去做了。
幾千條應該不算很多。
首先你是怎麼得知被惡意刷的,網站是否有其他漏洞(這個可能性比較大)
不知道你這是什麼系統,我們是這樣:
1:用戶名和密碼輸入正確才會下發短信驗證碼
2:同一用戶,一天限制次數。超過之後是鎖帳號,還是不再校驗簡訊驗證碼看業務要求。
總之,簡訊驗證碼是能不發就不發...
試試阿里的JAQ,風險識別,擋機器人專用的
首先當務之急是確定問題,你要確定是否是惡意刷還是程式錯誤還是正常情況。最好的判斷方法是日誌。
短息服務商那邊應該有日誌,如果沒有,則需要你自己寫一個日誌。確定問你題性質才能有解決方案。
如果目標不重複,ip不重複,幾千條也不能說是惡意的。