1、 验证码(最简单有效的防护),采用点触验证,滑动验证或第三方验证码服务,普通验证码很容易被破解
2、频率,限制同设备,同IP等发送次数,单点时间范围可请求时长
3、归属地,检测IP所在地是否与手机号归属地匹配;IP所在地是否是为常在地
4、可疑用户,对于可疑用户要求其主动发短信(或其他主动行为)来验证身份
5、黑名单,对于黑名单用户,限制其操作,API接口直接返回success,1可以避免浪费资源,2混淆黑户判断
6、签名,API接口启用签名策略,签名可以保障请求URL的完整安全,签名匹配再继续下一步操作
7、token,对于重要的API接口,生成token值,做验证
8、https,启用https,https 需要秘钥交换,可以在一定程度上鉴别是否伪造IP
9、代码混淆,发布前端代码混淆过的包
10、风控,大量肉鸡来袭时只能受着,同样攻击者也会暴露意图,分析意图提取算法,分析判断是否为恶意 如果是则断掉;异常账号及时锁定;或从产品角度做出调整,及时止损。
11、数据安全,数据安全方面做策略,攻击者得不到有效数据,提高攻击者成本
12、恶意IP库,https://threatbook.cn/,过滤恶意IP
tips:
鉴别IP真伪(自己识别代理IP和机房IP成本略高,可以考虑第三方saas服务。由肉鸡发起的请求没辙,只能想其他方法)
手机号真伪(做空号检测,同样丢给供应商来处理,达不到100%准确率,效率感人,并且不是实时的,可以考虑选择有防攻击的运营商)
安全问题是长期的和攻击者斗智斗勇的问题,没有一劳永逸的解决方案,不断交锋,不断成长
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至123456@qq.com 举报,一经查实,本站将立刻删除。
