國際驗證碼接口平臺是如何給短信驗證碼接口加上SSL雙向驗證的
2020-08-24 00:00:00
來源:www.yzdtdq.net.cn/
點擊:3698
喜歡:0
去年年底閑來幾天,有位同事專門在網上找一些注冊型的app和網站�,研究其短信接口是否安全,半天下來找到30來家���,一些短信接口由于分析難度原因��,沒有繼續(xù)深入�,但差不多挖掘到20來個,可以肆意被調用���,雖然不能控制短信內容���,但可以被惡意消耗,或者用于狂發(fā)信息給那些不喜歡的人��。國際驗證碼接口平臺是如何給短信驗證碼接口加上SSL雙向驗證的��,這里嘉之元科技根據業(yè)內行情來簡要說說����。
首先,漏洞分析:不能限制SMS收件人���。由于已注冊的界面,收件人通常是平臺中不存在的手機號碼����,因此不能加以限制。接口的請求者不能受到限制���。因為它是一個http(s)界面��,所以只要您簡單地分析您的界面��,任何人都可以請求它��。調用頻率是不能限制的:通常����,接口開發(fā)人員可以通過抓住接口請求者的ip來考慮頻率限制,但實現(xiàn)方式是他們僅獲得請求者的公共網絡ip��,而后者可能有大量的局域網用戶和接口開發(fā)者擁有相同的公共網絡IP�,因此不能通過IP約束在許多情況下使用它們。 漏洞的原因:原因實際上很簡單���。接口開發(fā)人員無法知道哪些請求是合理的��,有些請求是不合理或惡意的��,因為所有請求者都沒有身份信息�����。漏洞填充:如果您的注冊功能是網頁���,則最好添加驗證碼功能����,但是使用方便會受到影響���。如果您的注冊功能是移動的���,則使用SSL雙向驗證。中間人既不能分析您的接口���,也不能發(fā)起連接到接口服務的請求���,更不用說請求您的接口了。 SSL/TLS雙向驗證:單向驗證:我們通常由瀏覽器請求的https網頁實際上是SSL/TLS單向客戶端驗證服務器證書���,即服務器不需要客戶端具有已識別的證書��,但客戶端要求服務器必須提供受信任的數字證書頒發(fā)機構證書�。中間傳輸的數據經過加密且安全���,但是服務器無法獲取可以代表客戶端的身份信息��。此外�,客戶端請求的加密數據可以間接地被攔截����,解析,重構并發(fā)送到服務器(您可以了解Fiddler如何分析https接口)���。 雙向驗證:雙向驗證是指在單向驗證的基礎上�����,服務器還需要驗證客戶的證書����。只有當客戶端持有服務器認可的指定證書時��,服務器才會允許客戶端通過SSL握手�����,否則tcp將直接關閉連接���。對于需要雙向身份驗證的https接口��,F(xiàn)iddler也無能為力���,因為它無法連接到服務器本身�����??蛻糇C書:我們不需要花錢購買客戶證書����。可以使用openssl工具來發(fā)布它���,并且服務器通常會驗證是否滿足其thumbdata�����。
上一篇:短信驗證碼的登錄流程用java如何實現(xiàn)���?
下一篇:106短信群發(fā)平臺有哪些好處?怎樣操作使用��?
流量二維碼
業(yè)務經理1
業(yè)務經理2
