注册接口被攻击，求解决方案

注册接口，通过手机验证，发验证码到手机

被人恶意攻击，随意提交手机号，消耗短信费用，

提交的表单，ip，手机号都随机，

验证码已经失效（验证码信息服务器存session），

cookie限制不行，ip又是随机，怎么办

就算升级验证码，被破解是迟早的事

还有什么方案？

回复内容：

注册接口，通过手机验证，发验证码到手机

被人恶意攻击，随意提交手机号，消耗短信费用，

提交的表单，ip，手机号都随机，

验证码已经失效（验证码信息服务器存session），

cookie限制不行，ip又是随机，怎么办

就算升级验证码，被破解是迟早的事

还有什么方案？

简单有效的方案就是发送前再加一个图片验证码，防止机器提交。

可以考虑这种极验验证码 http://www.geetest.com/

采用图片验证码的方式是否是一个好的方案，从用户体验的角度来说是值得商榷的

那么，我的建议会是：隐藏文本框

１．在注册表单里添加一个文本框，利用css将其隐藏

<code><input name="antispam" style="display:none" value=""></code>

２．你可以通过javascript来间歇更新这里的值，然后根据你的具体更新规则，在后台进行验证即可，如果不符合规则，即可判断是bot

接口走HTTPS + token + 参数加密传送

js获取光标坐标并传进后端，后端处理这些坐标是否在注册按钮的坐标区中，不知道这样可不可以

限制同一个手机号码，就是发送后保存发送时间，后期这个号码过来，检测是否超过有效时间
无效号码，就是对号码进行效验是否合法
对于合法，随机号码攻击，那就是通过ip限制了，一个ip一段时间内最多几个号码！
暂时想到就这么多了
http://segmentfault.com/q/10100000007530... 这个是和你一样的问题

以下帮你转载的

1. 【绑定图型校验码】——将图形校验码和手机验证码进行绑定，当用户输入手机号码以后，需要输入图形校验码才可以触发短信，这样能比较有效的防止软件恶意点击。现在大型网站都采用此方式。
   2.【流程限定】——将手机短信验证和用户名注册分成两个步骤，用户在注册成功用户名密码后，下一步才进行手机短信验证。

3.【触发条件】——用户必须填写好所有注册信息才可进行触发，注册资料不完整无法发送验证码。
附加对接设置：

1. 【短信发送间隔设置】——设置同一号码重复发送的时间间隔，一般设置为60-120秒；

2. 【IP限定】——设置每个IP每天的最大发送量；

3. 【发送量限定】——设置每个手机号码每天的最大发送量；
   目前我们推荐的是第1、2、3结合456的方法进行对接接口。以免短信造成不必要的浪费！

除了验证码和签名，其他都没卵用

接口用服务器curl或者flie_get_content请求，接口还要写一个签名验证`

数据使用ajax post提交，同时禁止跨域提交上来的数据，同域提交的数据也做签名验证

建议使用手机号码归属方法，先查是否存在，如果存在时在发送信息，没办法了还可以做地区限制

可以尝试下同盾科技的接口保护解决方案

记录一下每次获取验证码的请求ip，电话号码以及请求时间
下次再请求的时候判断一下两次请求的时间间隔 你可以自己把控这个度
譬如30分钟之内只能发送一次验证码
这样的话如果想消耗你们的短信费用就得有多台机器并且有多个手机号码

这也只是我的猜想，不知道可不可行

可以从HTTP头还有访问记录来判断是否正常用户的，一般脚本的话，只会抓取HTML，不会请求图片，CSS，JS等内容；
还有一些HTTP头，脚本的一般都不完整。
不过真要搞你，我觉得基本拦不住，随机IP，随机电话，这个无法简单的判断出来是正常用户还是攻击。

用12306的验证码。

多准备几套验证码方案，随机更换，他破解的速度能有换验证码的速度快吗？

验证码发送到手机是这么被获取。 一般逻辑过程用户调研注册接口，你调用短信接口，短信平台调用你的回掉接口。或者你们提供验证码给短信接口，短信给用户。 用户没有手机是不知道的。我看有必要花钱找人做渗透测试。如果短信平台是安全可信性的话，你们问题更加严重。

用私钥生成签名，公钥传输，服务验证签名

难道没有对接口请求加token过滤？还是token很容易被破解