每當(dāng)我們要登錄某一個(gè)網(wǎng)站的帳號或是手機(jī)進(jìn)行某項(xiàng)支付操作的時(shí)候，時(shí)常會(huì)碰到要輸入動(dòng)態(tài)短信驗(yàn)證碼的情況，而這樣做也是為了保護(hù)大家使用過程中賬戶的安全性。但是在實(shí)際使用過程中，缺少防護(hù)的網(wǎng)站的短信驗(yàn)證碼極容易被不法分子利用，用于惡意攻擊他人手機(jī)號或者惡意刷取網(wǎng)站的短信費(fèi)用，嚴(yán)重影響正常使用。為了進(jìn)一步保證網(wǎng)站驗(yàn)證碼的合理使用，所以還需要采用一些別的安全防護(hù)措施。

一、增加圖片驗(yàn)證碼

攻擊者采取自動(dòng)化工具連續(xù)調(diào)用“動(dòng)態(tài)短信獲取”接口對個(gè)人手機(jī)號進(jìn)行動(dòng)態(tài)短信驗(yàn)證碼發(fā)送，歸根究底是因?yàn)楣粽呖梢宰詣?dòng)對接口進(jìn)行大量的調(diào)用。而增加圖片驗(yàn)證碼后的網(wǎng)站能有效防止自動(dòng)化工具對接口的調(diào)用。當(dāng)用戶進(jìn)行“獲取動(dòng)態(tài)短信驗(yàn)證碼”操作前，彈出圖片驗(yàn)證碼，要求用戶輸入圖片驗(yàn)證碼后，網(wǎng)站服務(wù)器端再發(fā)送動(dòng)態(tài)驗(yàn)證碼到用戶手機(jī)上。這種措施可有效解決個(gè)人手機(jī)號被攻擊的問題。

另外注意使用圖片驗(yàn)證碼的時(shí)候要注意幾個(gè)問題，一是圖片本身在生成的時(shí)候要是安全的，還有在使用過程時(shí)，應(yīng)該是單次使用，不要重復(fù)，再者要有強(qiáng)勁的技術(shù)支持，不能輕易被一些工具給識別，要有防止破解的可能。

二、限制同一IP的請求次數(shù)

雖然使用了圖片驗(yàn)證碼后，能有效防止攻擊者對“動(dòng)態(tài)短信獲取”接口的自動(dòng)化調(diào)用，但是，若攻擊者忽略圖片驗(yàn)證碼驗(yàn)證錯(cuò)誤的情況，大量重復(fù)請求也會(huì)給網(wǎng)站服務(wù)器帶來負(fù)擔(dān)，影響其他正常使用者的使用。為此建議在服務(wù)器端限制單個(gè)IP在一定時(shí)間內(nèi)的請求次數(shù)。一旦用戶請求次數(shù)超過設(shè)定的次數(shù)，則暫停對這個(gè)IP的請求；若是碰到情況特別嚴(yán)重的，可以將這個(gè)IP加入黑名單，禁止訪問。這種措施能限制來源于一個(gè)IP的大量請求，避免攻擊者從同一個(gè)IP對網(wǎng)站進(jìn)行大量攻擊，提前增加攻擊難度，保證業(yè)務(wù)正常運(yùn)行。

三、設(shè)置用戶請求時(shí)間間隔

為了讓使用者可以正常開展業(yè)務(wù)，為此可以設(shè)定一個(gè)重復(fù)再次發(fā)送動(dòng)態(tài)短信驗(yàn)證碼的時(shí)間，也就是說每個(gè)用戶在發(fā)送了一次短信驗(yàn)證碼后，要等待一定的時(shí)間后才可以收到第二次的驗(yàn)證碼。這樣做也是為了優(yōu)化用戶的體驗(yàn)度，保障使用者的安全，避免讓用戶收到很多惡意性的短信或是無用的垃圾信息。