恶意攻击者采用恶意工具,调用“动态验证码短信获取”接口进行动态短信发送, 究其原因是攻击者可以自动对接口进行大量调用。 采用图片验证码可有效防止恶意工具的自动化调用,即当用户进行“动态验证码短信发送” 操作前, 弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到 用户手机上,该方法可有效解决被利用实施炸弹攻击的问题。 安全的图片验证码必须满足: 生成过程安全:图片验证码必须在服务器端进行产生与校验; 使用过程安全:单次有效,且以用户的验证请求为准; 验证码自身安全:不易被识别工具识别,能有效防止暴力破解。