我跟黑产斗争的故事(二)

我们有一个项目,同时有网站、app、小程序。

然后一个搞黑产的哥们出现了,开始时不断注册垃圾账户,发布违规信息,然后我加入了百度ai内容审核后基本解决了这个问题。

然而事情并没有结束,当不能发布违规信息后,他就恼羞成怒转为攻击了,在发现了我们的一个bu g(短信接口)后,不断的用脚本刷我们的短信接口,开始一天差不多被刷了几千条短信,幸好在接到阿里云短信提醒后及时封住了短信发送,并未造成很大损失,然后它大概从前一两个月一到现在,一直在刷,虽然早就没用了,他也在坚持,现在的效果就类似d do s攻击吧。

我们的bu g在于:网站、app使用的短信接口是共用的,为了app端的体验,放弃了验证码的验证,然后网站端的接口地址基本上是明牌的,所以接口暴露之后,很容易就被攻击。我们被攻击的就是短信注册了,因为短信注册的发送是未登录的访客,发送之前并没有身份验证。

所以经验告诉我们:一些重要的接口,网站和app一定要分开。

最后的解决办法:

首先将app的短信接口和网站的短信接口分开,然后分别处理。对于网站的短信发送,加入验证码,而且不能是普通的验证码,得用那种点击、拖动之类的交互验证码,并且在服务器上对验证码做二次验证。对于app的接口全部进行安全验证,可选方法有,发起请求时需要签名,或者发起请求之前需要先从服务器请求一个token之类的,对于api接口的安全验证,下回再说。不过这也造成了一定的不便:对于已经上架发布的app,因为使用的老的接口(为了照顾老版app,老的接口并未废除),但是对老的接口进行了阉割,去掉了注册功能,也就手机号必须是已经注册账户的才能发送短信,对于注册的请求,直接进行提示“需更新新版本”。

分类:未分类
发表评论

电子邮件地址不会被公开。 必填项已用*标注