會員注冊頁面如何防刷

網站的會員注冊頁面暴露在網絡中，無需任何認證即可訪問，這給了一些短信轟炸機可趁之機，此類軟件可以持續性高并發的請求獲取驗證碼功能，如果注冊頁面未做有效防范的話，會導致企業的短信賬戶大量被刷，造成企業形象及資金損失。

那短信驗證碼防刷策略如何做呢？首先我們來了解一下短信接口攻擊：

什么是短信接口攻擊？
個別用戶出于不正當目的，自己或者委托第三方使用 “短信接口轟炸軟件”，短時間內在各應用頁面（主要是注冊頁面）模擬輸入被攻擊者的手機號碼，批量、循環提交請求，給一些手機號碼無限發送各種無效短信（如短信驗證碼）的行為，導致無辜的手機用戶被騷擾。

短信接口攻擊帶來的影響
1、用戶在無任何操作情況下，莫名收到大量短信驗證碼，對用戶造成嚴重的騷擾；
2、使用短信驗證碼接口的用戶，會被消耗大量的短信，同時，短信是以短信驗證碼接口客戶的名義發出的，會對企業的品牌形象造成負面影響；
3、大量騷擾短信的發送，對短信通道及短信平臺服務商的穩定安全運行造成極惡劣的影響。

如何有效防范短信接口攻擊？
基于短信接口攻擊的一些特點，我們有必要采用適當的短信驗證碼防刷策略，來降低甚至杜絕短信接口攻擊軟件對我們的影響，短信接口防御一般有以下一些措施：

1、思銳短信平臺攔截
思銳云通信平臺會實時偵測對客戶通過接口提交的每條短信，對惡意發送進行有效識別與攔截，能杜絕大多數的惡意發送。關注思銳官方微信公眾號，可實時接收賬戶狀態提醒。

2、對賬戶進行短信限流
思銳驗證碼短信接口支持多種方式的限流機制，用戶可以根據自己的業務需要及特點，設置每天的最大發送量、每號碼每天、每號碼每分鐘的發送量，將短信被刷的風險降低在可控范圍內。
如賬戶短信達到當日最大發送量時，思銳短信平臺會自動通過短信或微信通知您，您可以登錄平臺對發送量進行調整。

3、在用戶注冊頁面增加人機驗證
短信轟炸、短信攻擊一般是采用軟件進行自動攻擊，在邏輯上，對用戶先進性人機校驗，校驗通過之后才允許用戶點擊獲取驗證碼按鈕；人機校驗的方式一般有以下幾種：

a) 圖形驗證碼：加上足夠復雜的圖形驗證碼可有效防止惡意工具的自動化調用，即當用戶進行“短信驗證碼發送” 操作前, 彈出圖形驗證碼，要求用戶輸入驗證碼后，服務器端再發送動態短信到用戶手機上，該方法可有效解決被利用實施短 信轟炸攻擊的問題。
參考鏈接：https://www.ihuyi.com/tool/img.html

b) 第三方人機校驗：相較圖形驗證碼，第三方人機校驗服務的安全性更高，體驗更好，不過一般都是要付費使用。常見的表現形式有：

4、    在注冊頁面增加請求限制
a）對單個IP每天的請求次數做限制，如一天10次，超過即拒絕請求；
b）對同一號碼的請求時間進行限制，單一用戶請求驗證碼之后，需要間隔60-120秒才能再次請求；且同一號碼每天最多只能請求5-10次；
c）將獲取驗證碼功能放在表單（如填寫用戶名、密碼等）和人機驗證之后，即用戶通過了表單校驗和人機驗證之后，才能點擊獲取驗證碼按鈕。

短信驗證碼接口采用了以上一些防護措施之后，能防范絕大多數的短信接口攻擊行為，大大節約您的短信成本；當然，這些策略需要在項目開發的時候就要考慮并配置。