,,

短信接口被刷爆：我用Nginx臨時止血

freeflydom

2025年4月10日 11:51 本文熱度 221

最近，朋友公司遇到了一件讓他們“寢食難安”的事：他們的短信驗證碼接口被人盯上了，充進去的錢沒多久就被刷得一分不剩。不充錢，業(yè)務直接受影響；但充錢吧，就像往無底洞里灌水。他們聯系短信服務商，對方反饋說可能是“被惡意盜刷”。由于他們沒自己的IT團隊，App是找外包做的，現在處于無人維護狀態(tài)。老板希望在不改代碼的前提下想個辦法幫忙止血。

斷癥：不是Bug，而是接口在裸奔

這個App已經穩(wěn)定運行了兩年左右，程序 bug 的可能性比較小。我們懷疑是短信平臺信息泄露，或者接口被惡意程序利用。我上服務器看了下，他們部署非常簡單：前端用 Nginx 直接代理后端 Java 服務。打開 Nginx 日志發(fā)現有人以每秒3-6次的頻率請求獲取短信驗證碼的URL。并且接口調用未做二次驗證，這就等于把“發(fā)驗證碼”的權限完全開放了。哎！機會就這樣留給了別有用心的人。

亡羊補牢

這種情況，不改代碼確實有點難搞。從Nginx日志上可以看到，攻擊者使用了大量代理IP，每次請求的IP和參數都在變化，所以沒辦法通過IP黑名單的方式解決問題。我們只能寄希望于App在請求接口的時攜帶了攻擊者不具備的標識。由于Nginx無法直接打印完整請求頭，所以考慮用OpenResty通過Lua腳步把所有的請求頭內容輸出到日志里（這個接口是Get請求）。又只能在夜深人靜的時候加班學習，好在以前了解過一點OpenResty的知識。

分析請求頭

先折騰了一個簡單腳本來分析請求頭，要是這一關過不了，那基本可以放棄這個思路了。

location /api/reg/getCode {
    content_by_lua_block {
        for k, v in pairs(ngx.req.get_headers()) do
            ngx.say(k, ": ", v)
        end
    }
}

經過一番分析，發(fā)現App在每個請求上都帶上了一個版本號信息（雖然還在1.0.0），好在正好可以用來區(qū)分是否為惡意請求。

基于請求頭做驗證

接下來，就是利用 Nginx 的 map 指令判斷請求頭中是否包含指定版本號字段。命中放行，沒命中就攔下。
代碼如下：

http {
    map $http_app_version $allow {
        default 0;
        "~*xxx_1.0.0" 1;
    }
    server {
        listen 80;
        server_name xxx.xxx.com;
        location /api/reg/getCode {
            if ($allow = 0) {
                return 403;
            }
            proxy_pass http://java_service;
        }
    }
}

部署上去后看了下 Java 的日志，接口盜刷的請求直接被干掉，效果顯著。

以假亂真

雖然攔截成功，但返回403會暴露我們的防御策略，容易引起對手的注意，分分鐘就能突破這道薄弱的屏障。于是做了個升級：在nginx攔截到請求后，直接返回請求成功的響應結果，從此以后雙方都可以保持“成功”的假象。

改動如下：

location /api/reg/getCode {
    if ($allow = 0) {
        add_header Content-Type application/json;
        return 200 '{"code":"200","message":"驗證碼發(fā)送成功","success":true}';
    }
    proxy_pass http://java_service;
}