最近，有位站長反饋自己網(wǎng)站的短信驗證功能被惡意刷了，一小時發(fā)的短信量就高達1300萬。

網(wǎng)站的短信驗證被刷，通常指的是短信驗證碼接口被惡意利用，導致大量非用戶主動請求的驗證碼短信被發(fā)送到指定手機號，或者大量短信費用被消耗。這種行為屬于短信驗證碼攻擊，具體可以分為以下幾種攻擊類型：

? 1. 短信驗證碼盜刷（短信轟炸）

• 定義：攻擊者利用自動化腳本或工具，批量調用網(wǎng)站的短信驗證碼接口，向特定手機號發(fā)送大量驗證碼短信，造成短信轟炸或消耗網(wǎng)站短信費用。
• 攻擊目的：
• 騷擾用戶：讓目標手機號持續(xù)收到大量驗證碼短信，影響正常使用；
• 消耗短信費用：讓網(wǎng)站在短時間內消耗大量短信配額，造成經(jīng)濟損失；
• 掩蓋真實攻擊：通過短信轟炸分散用戶注意力，掩蓋其他盜刷行為（如賬戶盜用）。
• 攻擊特征：
• 短時間內大量請求；
• 請求的IP地址集中或頻繁更換（使用代理池）；
• 目標手機號連續(xù)或隨機生成；
• 請求參數(shù)異常（如User-Agent固定、Referer缺失）。

? 2. 短信驗證碼接口濫用（刷接口）

• 定義：攻擊者直接繞過前端驗證（如圖形驗證碼），通過抓包或逆向分析，直接調用后端短信接口，模擬正常用戶行為發(fā)送請求。
• 攻擊方式：
• 使用腳本（如Python + requests）批量請求；
• 利用高匿代理IP繞過IP限制；
• 使用“短信轟炸機”工具，集合多個網(wǎng)站的短信接口，集中攻擊一個手機號。

? 3. 中間人攻擊（GSM嗅探/偽基站）

• 定義：攻擊者通過偽基站或GSM中間人攻擊，截獲用戶手機接收到的短信驗證碼，用于繞過身份驗證，完成賬戶盜用或支付操作。
• 攻擊流程：

1. 攻擊者建立偽基站，強制用戶手機接入；
2. 獲取用戶手機號；
3. 使用嗅探設備截獲短信驗證碼；
4. 利用驗證碼完成賬戶登錄、支付等操作。

? 攻擊后果

對象	后果
用戶	手機被短信轟炸，無法正常使用，甚至賬戶被盜
網(wǎng)站	短信費用被刷、用戶投訴、品牌聲譽受損
平臺	被短信服務商封號、產(chǎn)生高額賬單

---

? 防護建議

防護維度	措施
前端	增加圖形驗證碼（滑塊、點選、旋轉等）
后端	限制單個手機號/IP的請求頻率、設置冷卻時間
接口	加簽驗證（如RSA加密參數(shù)）、Referer校驗、User-Agent識別
監(jiān)控	實時監(jiān)控短信發(fā)送量，異常告警（如阿里云防盜刷監(jiān)控）
合作方	與短信服務商合作，啟用防盜刷策略（如IP白名單、行為識別）

? 總結一句話

網(wǎng)站短信驗證被刷，屬于短信驗證碼盜刷攻擊，本質是接口濫用或短信轟炸，需從前端驗證、后端限制、行為監(jiān)控三個維度聯(lián)合防護。

這里主機幫推薦使用百度云防護企業(yè)版，含API防護功能，同時支持bot管理功能，可有效解決短信驗證被惡意刷問題。