验证码防盗刷_防盗刷指南_用户指南

为了保障您的账户安全，阿里云短信平台针对防盗刷情况提供监控能力，可以根据自己的业务状况到控制台（系统设置-国内消息设置-安全设置-防盗刷监控设置）进行配置。

验证码攻击：利⽤⽤户产品验证码获取的接⼝，通过程序的⽅式批量对单个或者多个号码进⾏验证码重复请求提交，⽤户验证码被刷后直接带来的是经济损失，同时对被攻击的号码带来了巨⼤的骚扰。

获取验证码的网站页面，没有做防止非法获取验证码的措施，比如最简单的图形校验码。（常见于网站上获取验证码）
建议：点击获取验证码之前做一个校验，比如需要正确输入图形验证码、拖动验证等
发送短信的接口暴露，且没有做加密措施，遭受恶意调用。（此类常见于APP侧获取验证码）
建议：在短信接口做一些加密措施（例如加入图形验证等方式），防止非法调用。
如出现被恶意攻击或者盗刷的情况，建议暂停调用短信接口，并完善您网站或接口的防御措施.
建议：碰到攻击，首先要确认攻击来源，判断是哪个注册入口遭到攻击。
- 增加图形校验码。使用成熟的图形验证产品
- IP地址限制。在服务器端增加对单ip请求的验证码数量进行限制
- 手机号码限制。客户在服务器端对单手机号请求的验证码数量进行限制