如果設計了發送手機簡訊的 API,我們會希望這個 API 不會被 BOT 攻擊或隨意使用,以免產生大量發送簡訊的費用,或是造成接收簡訊顧客的困擾。以下有幾種做法,可以避免或減緩 API 被攻擊所帶來的影響。
作法
- 實作兩階段驗證。
- 使用 CAPTCHA 驗證方式 (可能會降低使用者體驗)。
- 設定發送的頻率限制。
- 允許或阻擋特定來源的使用者 (ex. 來自國外的 IP)。
- 監控你的 API 使用行為。
- 使用人工智慧和機器學習技術辨識 BOT 攻擊。
- 限制能存取簡訊 API 金鑰的使用者。
- 持續更新 API 主機的安全漏洞。
- 訓練員工,避免他們濫用 API 或發生資安意外。
- 定期的安全稽核和滲透性測試。