动态短信验证码安全防护方案-上海短信验证码发送平台.PDF

动态 短信验证 码 安全防护方案 中国移动 2014 年9 月 1 目录 1. 概述 3 2. 适用范围 3 3. “短信炸弹”实例分析 3 3.1 短信炸弹原理 4 3.2 短信炸弹实例分析 4 4. 短信验证码安全防护方案 5 5. 图片验证码安全要求 7 5.1 图形验证码实现机制 7 5.2 图片验证码的安全设计要求 9 2 1. 概述 近期,根据集团客户及代理商反馈:部分用户连续收到莫名验证码短信，对用 户正常的业务使用造成了严重的影响；同时还引起了大量的用户投诉，部分省份 反馈行业端口的验证码业务投诉量居高不下，占总投诉量比重超过50%。 经分析该问题是由一种互联网恶意攻击方法—— “短信炸弹”形成，该攻 击方法循环利用不同业务中的无需注册即可向任意手机号发生短信动态验证码 的正常业务需求 （如用户注册、好友邀请、密码取回等），可以向多个用户同时 连续发送大量的验证短信，严重影响用户的正常使用，造成不良影响与大量投诉。 虽然部分业务设定用户首次输入错误后，提供“手机号+动态验证码”的登录方 式；但由于攻击工具循环调用不同的动态短信发送URL 进行攻击，可绕开该限制 进行攻击。 《动态短信验证码安全防护方案》是针对端口类动态短信验证码功能的安全 实施方法与要求，适用于具备动态短信验证码功能的业务与系统。 2. 适用范围 本方案适用于无需用户登录认证的情况下 （如用户注册、好友邀请、密码取 回等环节），需要向用户发送动态短信验证码或其他业务所需的短信（如认证信 息、业务提示信息等）的业务场景。 原则上要求所有具备公网可访问的、具备非认证场景下可向用户发送短信信 息的业务都必须符合本方案的要求。 本方案由总部市场经营部委托研究院制定。各省公司可根据本方案，结合自 身实际情况，制定相应的实施细则。 本方案自下发之日起执行。 3. “短信炸弹”实例分析 3 3.1 短信炸弹原理 短信炸弹一般基于WEB 方式（基于客户端方式的“短信炸弹”工具原理类似）， 其由两个模块组成，包括：一个前端Web 网页，提供输入被攻击者手机号码的输 入窗口；一个后台攻击页面(如PHP)，利用从各个网站上找到的动态短信URL 和 前端输入的被攻击者手机号码，发送HTTP 请求，每次请求给用户发送一个动态 短信。 利用这两个模块实施 “短信轰炸”攻击，原理具体分析如下： （1 ）恶意攻击者在前端页面 （如下图所示 “迷你轰炸台”）中输入被攻击 者的手机号； （2 ）短信炸弹后台服务器，将该手机号与互联网收集的可不需要经过认证 即可发送动态短信的URL 进行组合，形成可发送动态短信的URL 请求； （3）通过后台请求页面，伪造用户的请求发给不同的业务服务器； （4 ）业务服务器收到该请求后，发送动态短信到被攻击用户的手机上。 这个过程如下图1 所示。 Internet 1391193xxxx 后台攻击请求 页面 在短信炸弹web页面输入 手机号 攻击者 伪造用户 请求发送 动态