时间: 2015-07-14 来源: 华兴软通
一、简要说明
近期,工信部于 2015 年 6 月 28 日发布《通信短信息服务管理规定》 (简称:31 号令,该令于2015.07.01 日起执行),该政令明确规定如对非授权用户造成骚扰的,将被执行一万至三万元人民币罚款。
目前,网页短信验证码存在大量恶意攻击,有不法软件开发人员,使用搜索引擎批量导入未添加“图形识别码”的注册网址。不法分子将“手机轰炸器”软件打包销售或免费提供给网友,网友使用该软件恶意攻击他人手机号,达到其骚扰对方造成对方无法正常使用手机的目的。
工信部31号令网址:
http://www.miit.gov.cn/n11293472/n11293832/n12843926/n13917072/
16613367.html
二、无图形识别的注册验证码将会影响什么?
1、大量浪费您的短信帐号的条数。
2、产生投诉被运营商罚款一至三万元。
3、影响短信发送速度。
说明:根据多年经验,个别客户使用一个号码一天只允许获取一次也是无法防范的,曾有客户限制次数后一天被刷掉数十万条短信数的事情。原因是由于短信攻击软件,有大范围大批量的盲发功能,将导致任何获取验证码“次数限制”均失效。
三、短信验证图形识别码添加说明及示例
1、根据国家相关政策,要求不具备防范恶意攻击软件的短信使用单位/个人,必须具备防范、防止及有效避免骚扰用户的办法,运营商应积极响应用户拒收骚扰短信的要求。
2、针对验证码、找回密码、重置密码等功能,必须要求用户先“输入图形识别码”,然后“再获取短信检验”。
3、推荐使用以下方式添加“图形识别码”防范垃圾短信。
图形识别码示例一:
http://www.aocmonitor.com.cn/register/
图形识别码示例二:
http://www.dan-che.com/accounts/new
四、技术人员开发建议
1、图形识别五步机制
1)生成图形识别码。
2)产生与图形文字对应的 session 变量。
3)判断用户输入的字符是否与图形识别码 session变量匹配。
4)输入正确图形识别码后,允许点击“获取短信验证码” 。
5)点击”获取验证码"按钮后,在 POST/GET 的目标效验页面,再次判断图形 session变量是否正确或存在,以避免恶意软件绕过(Fiddler HTTP 抓包)图形识别码,直接调用短信发送接口实现攻击。
2、相关语言的图形识别码 DEMO示例
说明:以下示例为网络搜索,不保证其程序正确性,请用户自行测试无问题后集成使用。
JAVA 示例:http://www.oschina.net/p/kaptcha
PHP示例:http://www.oschina.net/p/kcaptcha
C#示例:http://blog.csdn.net/weixinfu3753/article/details/4580676
ASP.NET示例:http://www.cnblogs.com/fengzheng126/archive/2012/05/ 26/2519228.html
ASP示例:http://www.jb51.net/article/26426.htm