短信群发-九天企信王
电话:010-82028588 /82028378 /82026138 /82024558 打造专业、高效、低廉的短信平台,轻松搭建与客户的沟通桥梁!
首  页 短信中心 短信应用 短信平台 服务报价 短信案例 代理加盟 平台帮助 付款方式联系我们

扫一扫添加我为好友

扫一扫添加我为好友

九天企信王短信服务平台,专业技术团队,多年技术研发
您的位置:短信平台首页 > 短信营销方案 短信平台安全需求探究

短信平台安全需求探究

发布时间:2021-04-19来源:九天企信王作者:危问柳

短信平台安全需求探究

短信平台一般是指企业中用于提供短信服务的系统,一般包括发送短信、验证短信验证码等功能。虽然短信平台看似功能简单,但由于短信功能应用广泛,业务场景丰富,其安全性非常重要。由于工作需要,最近整理了一个短信平台安全需求,在此记录分享。

(1)请求获取验证码功能界面

功能使用场景:一般是前台应用系统(渠道端)携带用户的IP手机号码到短信平台界面获取验证码。

面向安全风险的功能安全需求设计

短信轰炸1。对于单个IP单手电话号码,限制每单位时间对接口的请求数量,如果超过限制,则禁止IP。

短信验证码可以猜到。2.短信验证码的内容不能是不安全的随机数(不要使用可预测的标识符和确认码组合)且满足强度要求(6位及以上)。

未经授权的手机号码获取验证码3。支持手机号码黑白列表控制策略。

短信轰炸4。短信采集接口支持防重发(给cookie加时间戳等)。).

未经授权的应用程序获得验证码。5.短信采集接口支持认证验证。

短信验证码的验证绕过6。短信验证码的内容不能通过界面直接返回到前台应用,可以返回到发送状态。

篡改短信验证码7的内容。短信验证码的内容不能从前端应用系统导入,而是通过短信平台后端定制的模板绑定到前端应用系统。

绕过单手手机号8的发送次数限制。对前端应用系统导入的手机号码进行字符处理和格式验证,过滤非数字字符,确保格式正确。

短信轰炸9。单手手机号请求短信验证码的间隔限制(如60s),间隔内不允许再次请求验证码。

水平短信轰炸10。为不同的前端应用系统设置不同的单位时间请求次数阈值。(例如,高频应用的较高阈值和低频应用的较低阈值)

(2)请求验证验证码功能界面

功能使用场景:一般前端应用系统(渠道侧)携带用户IP、用户手机号,用户将验证码输入短信平台界面进行验证码验证。

面向安全风险的功能安全需求设计

短信验证码爆炸1。限制单个IP单手电话号码每单位时间的验证码验证错误数量。

短信验证码爆破2。短信验证码生效时限。

短信验证码复用3。相同的短信验证码不能用于不同的动作(即用户每次操作都使用单独的验证码,如注册、登录、转账等短信验证码不同)。短信验证码突发4。短信验证界面支持防重放(在cookie中添加时间戳等)。).

未授权验证短信验证码5。短信验证界面支持认证验证。

短信验证码复用6。短信验证码应在验证通过后立即重置无效。

以上安全要求并不完善,需要进一步讨论和补充。要求中的相关阈值仅供参考,具体数值应根据实际业务情况确定。此外,在实际场景中,通过在前端应用系统中添加图片验证码,可以使用自动工具批量请求接口。

延伸阅读
方便,快捷,30天内无条件退款

首页 | 平台介绍 | 服务报价 | 付款方式 | 代理加盟 | 联系我们 | 平台帮助

版权所有:北京九天揽月科技有限公司 www.sms9.net
增值电信许可证编号:京B2-20060060
九天企信王