短信驗證碼的工作原理? 短信驗證是一種比較便捷的認證方式主要應用場景有：，下面我們就來說一說關于短信驗證碼的工作原理?我們一起去了解并探讨一下這個問題吧!

短信驗證碼的工作原理

短信驗證是一種比較便捷的認證方式。主要應用場景有：

1、主要應用在業務系統的交易界面中用戶手工輸入手機号，并獲取短信驗證碼進行驗證。

2、手機号由系統自動關聯且不能修改 該場景是業務系統中已識别到用戶身份，并需要使用用戶綁定的手機号進行短信驗證，從操作上用戶無需手工再次輸入手機号，并且手機号是不能在交易過程中修改。

不同業務場景下的攻擊手段也有不同。主要有兩大類：

(一) 短信轟炸攻擊

1. 用戶輸入手機号的場景下攻擊手法為兩種：

（1）通過模拟通信請求，用同一手機号進行無限次地請求短信驗證碼；對同一用戶造成短信轟炸，同時消耗短信的資源。

（2）修改請求報文中的手機号，每次請求短信号碼的都是不同的手機号。對不同用戶造成短信轟炸，同時消耗短信的資源。

2. 手機号由系統自動關聯且不能修改 在該場景下不能修改手機号，因此是直接用同一手機号進行無限次地請求短信驗證碼，對同一用戶造成短信轟炸，同時消耗短信的資源。

(二) 短信驗證繞過攻擊

短信驗證碼繞過主要是指短信驗證碼在表單提交時被繞過，該問題主要是頁面端表單提交處理事件将短信驗證碼驗證與當前界面的提交分開成不同的請求與後端服務器通信。 這種設計下攻擊者可以通過模拟短信驗證成功的标識狀态值，從而繞過短信驗證碼校驗而直接進行表單提交。

針對以上的攻擊手法，提出相關的安全設計要求，在系統安全設計上就必須做出相應的策略，進行有效的防範以對應攻擊。以下為必須做到的安全設計點：

1、必須要有防止重放攻擊的設計 對于短信驗證碼的請求增加檢查，每次請求都必須是合法的，可以防止重放攻擊即可。如增加圖形驗證碼，發送一次短信，就需要填一次，圖形驗證碼的産生必須是服務器端，且隻能一次有效。

2、必須在時間段内對請求次數進行限制。限制同一手機号同一時間申請短信驗證碼的次數，建議值為1分鐘内不超過10次即認為是符合安全要求。

3、請求驗證碼時必須對用戶進行核身 在請求發送驗證碼時，必須對當前請求的用戶進行權限檢查，檢查接收短信的手機号與當前用戶是否匹配，以防止攻擊者已替換了用戶信息而發起請求。

4、 為避免出現短信驗證繞過漏洞，必須将短信驗證碼的驗證是與表單的提交合并到同一個請求中，由後端服務端進行邏輯處理，先驗證短信驗證碼，驗證通過後再處理表單請求避免發生繞過驗證的漏洞。

希望以上對大家有幫助。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!