如何有效拦截非法post请求

waney 发布于 2016/05/21 08:29
阅读 2K+
收藏 0

情况描述:某网站短信下发接口,用户只要输入手机号码点击发送即可收到验证码,被坏人看上了,构造post过来,导致发送了大量短信,服务器是centos,请教各位,如何有效防止,具体办法。

1、机房防火墙能否拦截,如何做

2、程序加验证码,可取吗?

加载中
0
程序兵
程序兵
在发送短信接口时加个签名校验即可
程序兵
程序兵
对方持续post看是不是只有一个ip,如果是的话先做个ip过滤把这个请求过滤掉在说
程序兵
程序兵
你可以自定义一个加密机制,每次发送手机号到服务器时对这个加密进行校验,校验通过及发送短信请求,不通过直接pass掉就行了
waney
waney
能说具体点吗,另外我如何能终止别人无休止的post请求。现在是302转到百度,但对方仍然在持续post
0
公孙二狗
公孙二狗

加个 token 验证,服务器端在输入手机好的那个 form 里加入一个 token,收到 post 请求后检查 token 是否有效(就是看看 session 里有没有这个 token),无效则不发送短信。

0
飘零清风
飘零清风
发送短信前端加上60S倒计时等待, 后端可以像楼上说的加token   就是session验证一下,如果不匹配不调用发短信接口,   对方持续POST可以在服务器上封对面IP
waney
waney
ip是变动的
0
waney
waney
其实我就是想问有没有办法从防火墙或服务器端拦截掉的办法。
飘零清风
飘零清风
如果IP是一直变动的 那就只能从验证码或者token来弄了 服务器和防火墙 他是正常的请求 没什么办法拦截 或者可以针对IP加计数器 如果一个IP请求次数过多 就屏蔽掉
0
叶新星
叶新星
加验证码检验,
0
tomczhen
tomczhen
现成的产品就是waf可以解决你的问题,也可以在后端做修改,简单的办法就是配合redis的过期做个一个时间段内只能发一次短信给某个手机号。配合前端可以每次请求加入较验机制,避免伪造请求。
waney
waney
手机号和ip都是不断变化的
0
厌恶自己
厌恶自己
前段倒计时 后端token验证
厌恶自己
厌恶自己
回复 @BG5TWC : 页面请求时响应 token 到页面中,调用发短信接口时携带 token,token 验证成功之后,就把 token 删除掉..如果下次还用这个token 来验证,验证会失败
厌恶自己
厌恶自己
回复 @BG5TWC : token 用一次之后就会生成新的,就算拿到也没用
BG5TWC
BG5TWC
然而扒一下页面不就拿到token了
0
ihuotui
ihuotui
安全狗啊。。。。
ihuotui
ihuotui
回复 @waney : 百度,一般网站都是用安全狗来防御的。
waney
waney
有这吗?哪买啊,马上要
0
w麦麦
w麦麦
https://luosimao.com/他家有个人机验证,用起来挺方便的,是免费的
0
izee
izee
如果短信发下接口不能改,自己套一层,写个前置接口来验证token,然后通过验证后前置接口再调用原接口
返回顶部
顶部