國際驗(yàn)證碼接口平臺(tái)是如何給短信驗(yàn)證碼接口加上SSL雙向驗(yàn)證的
2020-08-24 00:00:00
來源:www.yzdtdq.net.cn/
點(diǎn)擊:3697
喜歡:0
去年年底閑來幾天�����,有位同事專門在網(wǎng)上找一些注冊(cè)型的app和網(wǎng)站�,研究其短信接口是否安全��,半天下來找到30來家,一些短信接口由于分析難度原因�,沒有繼續(xù)深入�,但差不多挖掘到20來個(gè),可以肆意被調(diào)用��,雖然不能控制短信內(nèi)容���,但可以被惡意消耗���,或者用于狂發(fā)信息給那些不喜歡的人。國際驗(yàn)證碼接口平臺(tái)是如何給短信驗(yàn)證碼接口加上SSL雙向驗(yàn)證的�,這里嘉之元科技根據(jù)業(yè)內(nèi)行情來簡(jiǎn)要說說。
首先��,漏洞分析:不能限制SMS收件人����。由于已注冊(cè)的界面,收件人通常是平臺(tái)中不存在的手機(jī)號(hào)碼��,因此不能加以限制�。接口的請(qǐng)求者不能受到限制。因?yàn)樗且粋€(gè)http(s)界面�����,所以只要您簡(jiǎn)單地分析您的界面,任何人都可以請(qǐng)求它���。調(diào)用頻率是不能限制的:通常�����,接口開發(fā)人員可以通過抓住接口請(qǐng)求者的ip來考慮頻率限制��,但實(shí)現(xiàn)方式是他們僅獲得請(qǐng)求者的公共網(wǎng)絡(luò)ip��,而后者可能有大量的局域網(wǎng)用戶和接口開發(fā)者擁有相同的公共網(wǎng)絡(luò)IP��,因此不能通過IP約束在許多情況下使用它們�。 漏洞的原因:原因?qū)嶋H上很簡(jiǎn)單���。接口開發(fā)人員無法知道哪些請(qǐng)求是合理的�,有些請(qǐng)求是不合理或惡意的�,因?yàn)樗姓?qǐng)求者都沒有身份信息。漏洞填充:如果您的注冊(cè)功能是網(wǎng)頁����,則最好添加驗(yàn)證碼功能�����,但是使用方便會(huì)受到影響�����。如果您的注冊(cè)功能是移動(dòng)的,則使用SSL雙向驗(yàn)證��。中間人既不能分析您的接口�,也不能發(fā)起連接到接口服務(wù)的請(qǐng)求,更不用說請(qǐng)求您的接口了����。 SSL/TLS雙向驗(yàn)證:?jiǎn)蜗蝌?yàn)證:我們通常由瀏覽器請(qǐng)求的https網(wǎng)頁實(shí)際上是SSL/TLS單向客戶端驗(yàn)證服務(wù)器證書,即服務(wù)器不需要客戶端具有已識(shí)別的證書��,但客戶端要求服務(wù)器必須提供受信任的數(shù)字證書頒發(fā)機(jī)構(gòu)證書���。中間傳輸?shù)臄?shù)據(jù)經(jīng)過加密且安全����,但是服務(wù)器無法獲取可以代表客戶端的身份信息。此外�,客戶端請(qǐng)求的加密數(shù)據(jù)可以間接地被攔截,解析��,重構(gòu)并發(fā)送到服務(wù)器(您可以了解Fiddler如何分析https接口)��。 雙向驗(yàn)證:雙向驗(yàn)證是指在單向驗(yàn)證的基礎(chǔ)上��,服務(wù)器還需要驗(yàn)證客戶的證書���。只有當(dāng)客戶端持有服務(wù)器認(rèn)可的指定證書時(shí)��,服務(wù)器才會(huì)允許客戶端通過SSL握手�,否則tcp將直接關(guān)閉連接���。對(duì)于需要雙向身份驗(yàn)證的https接口�,F(xiàn)iddler也無能為力�,因?yàn)樗鼰o法連接到服務(wù)器本身?�?蛻糇C書:我們不需要花錢購買客戶證書�����。可以使用openssl工具來發(fā)布它����,并且服務(wù)器通常會(huì)驗(yàn)證是否滿足其thumbdata。
上一篇:短信驗(yàn)證碼的登錄流程用java如何實(shí)現(xiàn)��?
下一篇:106短信群發(fā)平臺(tái)有哪些好處�?怎樣操作使用?
流量二維碼
業(yè)務(wù)經(jīng)理1
業(yè)務(wù)經(jīng)理2
