中国移动动态短信验证码安全防护方案分析

来源：网络收集时间：2018-11-26 下载这篇文档手机版

说明：文章内容仅供预览，部分内容可能不全，需要完整文档或者需要复制内容，请下载word后使用。下载word有问题请添加微信号:或QQ：处理（尽可能给您提供完整文档），感谢您的支持与谅解。

动态短信验证码安全防护方案

中国移动 2014年9月

1.概述 ................................................................................................ 3 2.适用范围 ........................................................................................ 3 3.“短信炸弹”实例分析 ............................................................... 3

3.1短信炸弹原理.............................................................................................. 4 3.2短信炸弹实例分析.......................................................................................4

4.短信验证码安全防护方案 ........................................................... 5 5.图片验证码安全要求 ................................................................... 7

5.1图形验证码实现机制................................................................................. 7 5.2图片验证码的安全设计要求..................................................................... 9

1.概述

近期，根据集团客户及代理商反馈：部分用户连续收到莫名验证码短信，对用户正常的业务使用造成了严重的影响；同时还引起了大量的用户投诉，部分省份反馈行业端口的验证码业务投诉量居高不下，占总投诉量比重超过50%。

经分析该问题是由一种互联网恶意攻击方法——“短信炸弹”形成，该攻击方法循环利用不同业务中的无需注册即可向任意手机号发生短信动态验证码的正常业务需求（如用户注册、好友邀请、密码取回等），可以向多个用户同时连续发送大量的验证短信，严重影响用户的正常使用，造成不良影响与大量投诉。虽然部分业务设定用户首次输入错误后，提供“手机号+动态验证码”的登录方式；但由于攻击工具循环调用不同的动态短信发送URL进行攻击，可绕开该限制进行攻击。

《动态短信验证码安全防护方案》是针对端口类动态短信验证码功能的安全实施方法与要求，适用于具备动态短信验证码功能的业务与系统。

2.适用范围

本方案适用于无需用户登录认证的情况下（如用户注册、好友邀请、密码取回等环节），需要向用户发送动态短信验证码或其他业务所需的短信（如认证信息、业务提示信息等）的业务场景。

原则上要求所有具备公网可访问的、具备非认证场景下可向用户发送短信信息的业务都必须符合本方案的要求。

本方案由总部市场经营部委托研究院制定。各省公司可根据本方案，结合自身实际情况，制定相应的实施细则。

本方案自下发之日起执行。

3.“短信炸弹”实例分析

3.1短信炸弹原理

短信炸弹一般基于WEB方式（基于客户端方式的“短信炸弹”工具原理类似），其由两个模块组成，包括：一个前端Web网页，提供输入被攻击者手机号码的输入窗口；一个后台攻击页面（如PHP），利用从各个网站上找到的动态短信URL和前端输入的被攻击者手机号码，发送 HTTP请求，每次请求给用户发送一个动态短信。

利用这两个模块实施“短信轰炸”攻击，原理具体分析如下：

（1）恶意攻击者在前端页面（如下图所示“迷你轰炸台”）中输入被攻击者的手机号；

（2）短信炸弹后台服务器，将该手机号与互联网收集的可不需要经过认证即可发送动态短信的URL进行组合，形成可发送动态短信的URL请求；

（3）通过后台请求页面，伪造用户的请求发给不同的业务服务器；（4）业务服务器收到该请求后，发送动态短信到被攻击用户的手机上。这个过程如下图1所示：

3.2短信炸弹实例分析

用户在某短信炸弹上输入被攻击手机号、攻击的次数后，对被攻击的手机号进行攻击的源码。如图2所示：

图2短信炸弹Web页面分析：

该攻击页面中主要采用来调用业务服务器动态短信发送的接口。如红框中内容所示。

? 在“短信轰炸”源代码中，利用标签的src属性定义了可以请求

发送动态短信的URL（如gd.12530.com/….）;

? 在其中的phonenumber字段中嵌入被攻击的手机号（如

138111111111后，即可形成攻击URL）；

? 页面运行后，将其以HTTP GET/POST的方法提交给业务服务器； ? 业务服务器发送动态短信到被攻击者的手机上，从而完成了“短信炸

弹”攻击。

4.动态短信验证码安全防护方案

短信炸弹形成的原因是因为非授权的动态短信获取，而由于业务的需要（如

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库中国移动动态短信验证码安全防护方案分析在线全文阅读。

中国移动动态短信验证码安全防护方案分析.doc 将本文的Word文档下载到电脑，方便复制、编辑、收藏和打印下载失败或者文档不完整，请联系客服人员解决！

下载这篇word文档

本文链接：https://www.77cn.com.cn/wenku/zonghe/310699.html（转载请注明文章来源）

上一篇：机械工程材料基本知识
下一篇：《c#.net程序设计案例教程》课后习题参考答案