日前,某外包公司帮杭州绿城做了屋牛项目,改项目的短信平台遭到恶意大规模的请求,向运营商购买的短信很快耗尽。该团队想了方法即在短信验证码前加图形验证码。
分析一下,黑客模拟发起短信验证码的请求,他只能根据他获得得到的数据进行模拟,这里指一般的黑客攻击,且只针对此具体问题。对http熟悉的,都知道4个域,application、request、response、session。如果我们在session(或者HttpRuntime.Cache)里放一个token,每次请求比对该token,再辅以每个号码请求次数的限制,该问题是不是就解决了。
想一下短信验证码还要加图形验证码多么可笑,所以我说那帮人是蠢材。
时间: 2024-10-24 22:55:39