10| 注册安全攻防-短信邮箱轰炸 小滴课堂讲师 2024年07月31日 预计阅读 3 分钟 原文 ### 需求 使用邮箱注册,已经注册的邮箱不能重复注册 密码不能使用简单的MD5加密 用户上传头像需要用文件存储 安全需求: - 高并发下邮箱`唯一性` - 注册邮箱或者手机验证码`不能被恶意调用` - 头像文件`存储访问方便扩容和管理` #### 灰色产业短信邮箱轰炸 批量、循环给手机无限发送各种网站的注册验证码短信的方法。 原理: - 寻找大量肉鸡网站,寻找发送验证码的请求接口 - 如果找不到接口,也可以使用自动化UI工具触发 - 编写程序和调度任务,相关脚本录入数据库 - 输入目标手机号或者邮箱,触发攻击 危害:大量盗刷,带宽、连接等都被占用,导致无法正常使用。 如何避免: - 增加**图形验证码**(开发人员) - **单IP请求次数限制**(开发人员) - **限制号码发送**(一般短信提供商会做)
评论区