国际验证码接口平台是如何给短信验证码接口加上SSL双向验证的
2020-08-24 00:00:00
来源:www.jzyyun.com/
点击:2360
喜欢:0
去年年底闲来几天,有位同事专门在网上找一些注册型的app和网站,研究其短信接口是否安全,半天下来找到30来家,一些短信接口由于分析难度原因,没有继续深入,但差不多挖掘到20来个,可以肆意被调用,虽然不能控制短信内容,但可以被恶意消耗,或者用于狂发信息给那些不喜欢的人。国际验证码接口平台是如何给短信验证码接口加上SSL双向验证的,这里嘉之元科技根据业内行情来简要说说。
首先,漏洞分析:不能限制SMS收件人。由于已注册的界面,收件人通常是平台中不存在的手机号码,因此不能加以限制。接口的请求者不能受到限制。因为它是一个http(s)界面,所以只要您简单地分析您的界面,任何人都可以请求它。调用频率是不能限制的:通常,接口开发人员可以通过抓住接口请求者的ip来考虑频率限制,但实现方式是他们仅获得请求者的公共网络ip,而后者可能有大量的局域网用户和接口开发者拥有相同的公共网络IP,因此不能通过IP约束在许多情况下使用它们。 漏洞的原因:原因实际上很简单。接口开发人员无法知道哪些请求是合理的,有些请求是不合理或恶意的,因为所有请求者都没有身份信息。漏洞填充:如果您的注册功能是网页,则最好添加验证码功能,但是使用方便会受到影响。如果您的注册功能是移动的,则使用SSL双向验证。中间人既不能分析您的接口,也不能发起连接到接口服务的请求,更不用说请求您的接口了。 SSL/TLS双向验证:单向验证:我们通常由浏览器请求的https网页实际上是SSL/TLS单向客户端验证服务器证书,即服务器不需要客户端具有已识别的证书,但客户端要求服务器必须提供受信任的数字证书颁发机构证书。中间传输的数据经过加密且安全,但是服务器无法获取可以代表客户端的身份信息。此外,客户端请求的加密数据可以间接地被拦截,解析,重构并发送到服务器(您可以了解Fiddler如何分析https接口)。 双向验证:双向验证是指在单向验证的基础上,服务器还需要验证客户的证书。只有当客户端持有服务器认可的指定证书时,服务器才会允许客户端通过SSL握手,否则tcp将直接关闭连接。对于需要双向身份验证的https接口,Fiddler也无能为力,因为它无法连接到服务器本身。客户证书:我们不需要花钱购买客户证书。可以使用openssl工具来发布它,并且服务器通常会验证是否满足其thumbdata。
上一篇:短信验证码的登录流程用java如何实现?
下一篇:106短信群发平台有哪些好处?怎样操作使用?
流量二维码
业务经理1
业务经理2
