编者按：短信服务接口安全是企业在开发或对接短信接口时尤为关注的问题。部分黑客可能出于恶意竞争或短信轰炸他人的目的，攻击企业短信服务接口，盗刷企业的验证短信，造成企业资金损失。那么企业应该如何避免短信接口被恶意调用？本文为大家介绍一些简单实用的方法。

 

➤  避免方法

1.设置发送时间间隔

企业可以通过设置短信验证码的发送时间间隔避免短信被调用，频繁地向非应用用户发送验证码短信。短信发送时间间隔一般设置为60s、100s、120s，设置60s的最为常见。

2.增加图形验证码

在发送验证码短信前增加图形验证码，可以大大增加黑客攻击的成本和难度。对真实用户来说，图形验证操作很简单，对黑客来说，还要增加图片识别的功能，破解的难度大大提升。图形验证码有文字、字母、识别物体等多种形式。

3.限制同号码、同IP的发送次数

通过限制同一个手机号码、同一个IP的短信发送次数，可以很好地避免黑客使用固定的手机号码和网络对接口进行盗刷。一般同一个号码会设置3-5次的限制，达到限制次数后点击重新发送无用。限定IP和限制手机号的原理类似，但是可能出现很多共用wifi的用户使用同一个IP的情况，冒然限制IP可能会导致错杀，影响真实用户体验。

4.发送流程限制

注册或登录验证时，在流程上将“输入用户名和密码”放到获取短信验证码前，即不输入用户名和密码就无法获取短信验证码，可以增加黑客获取短信验证码的难度，避免短信服务接口的恶意调用。

 

➤  注意事项

1.组合使用：单一方法对黑客的阻挡效果是有限的，部分黑客还能找到破解的方法，所以建议企业组合2-3个方法同时使用。

2.提前实施：最好在对接短信服务接口的同时实施防护方案，不然在出现问题后，受企业应用版本发布的影响，可能无法立即实施一些措施，进而造成一定的资金损失。

3.考虑用户体验：除了发送流程限制外，其他方式都会对用户操作造成一定限制或增加用户操作，企业在设计防护方案时，要同时考虑实际的用户体验。

 

➤  小结

本文为大家介绍了四个简单易行的避免短信服务接口被调用的方法，以及实际使用中的注意事项。限制短信的发送频率，限制同一电话号码、同一IP的短信发送次数，增加图形验证码，在发送流程上做限制，都可以提高黑客攻击接口的难度。在实际的接口防护中，组合2-3个方法同时使用可以大大降低企业接口被攻击的风险，但是要注意确保真实用户的使用体验。防护方案最好在对接短信接口时同时实施，避免被攻击后因难以立即发布新的应用版本遭受损失。