您的当前位置:主页 > 常见问题

合作客户

方太
金伯利

联系我们

0371-86687083
地址:郑州市管城区紫金山路兴达国贸1802室
电话:0371-86687083

常见问题

国际验证码接口平台是如何给短信验证码接口加上SSL双向验证的

2020-08-24 00:00:00    来源:www.jzyyun.com/    点击:2821    喜欢:0

  去年年底闲来几天,有位同事专门在网上找一些注册型的app和网站,研究其短信接口是否安全,半天下来找到30来家,一些短信接口由于分析难度原因,没有继续深入,但差不多挖掘到20来个,可以肆意被调用,虽然不能控制短信内容,但可以被恶意消耗,或者用于狂发信息给那些不喜欢的人。国际验证码接口平台是如何给短信验证码接口加上SSL双向验证的,这里嘉之元科技根据业内行情来简要说说。


国际验证码接口平台是如何给短信验证码接口加上SSL双向验证的


  首先,漏洞分析:不能限制SMS收件人。由于已注册的界面,收件人通常是平台中不存在的手机号码,因此不能加以限制。接口的请求者不能受到限制。因为它是一个http(s)界面,所以只要您简单地分析您的界面,任何人都可以请求它。调用频率是不能限制的:通常,接口开发人员可以通过抓住接口请求者的ip来考虑频率限制,但实现方式是他们仅获得请求者的公共网络ip,而后者可能有大量的局域网用户和接口开发者拥有相同的公共网络IP,因此不能通过IP约束在许多情况下使用它们。

  漏洞的原因:原因实际上很简单。接口开发人员无法知道哪些请求是合理的,有些请求是不合理或恶意的,因为所有请求者都没有身份信息。漏洞填充:如果您的注册功能是网页,则最好添加验证码功能,但是使用方便会受到影响。如果您的注册功能是移动的,则使用SSL双向验证。中间人既不能分析您的接口,也不能发起连接到接口服务的请求,更不用说请求您的接口了。

  SSL/TLS双向验证:单向验证:我们通常由浏览器请求的https网页实际上是SSL/TLS单向客户端验证服务器证书,即服务器不需要客户端具有已识别的证书,但客户端要求服务器必须提供受信任的数字证书颁发机构证书。中间传输的数据经过加密且安全,但是服务器无法获取可以代表客户端的身份信息。此外,客户端请求的加密数据可以间接地被拦截,解析,重构并发送到服务器(您可以了解Fiddler如何分析https接口)。

  双向验证:双向验证是指在单向验证的基础上,服务器还需要验证客户的证书。只有当客户端持有服务器认可的指定证书时,服务器才会允许客户端通过SSL握手,否则tcp将直接关闭连接。对于需要双向身份验证的https接口,Fiddler也无能为力,因为它无法连接到服务器本身。客户证书:我们不需要花钱购买客户证书。可以使用openssl工具来发布它,并且服务器通常会验证是否满足其thumbdata。

上一篇:短信验证码的登录流程用java如何实现?
下一篇:106短信群发平台有哪些好处?怎样操作使用?


  • 服务咨询 0371-86687083
  • 一对一贵宾级服务
  • 7X24小时技术保障
Copyright © 2013-2017. All Rights Reserved. 郑州嘉之元计算机科技有限公司 www.jzyyun.com 版权所有 | 增值电信业务经营许可证:B2-20194910| 备案号: 豫ICP备15030919-2号
营业执照
图片
[网站地图] [联系我们]
本公司主要从事:短信验证码,短信接口,短信平台,群发短信,短信群发 sitemap:sitemap.txt|

豫公网安备41010402002418号

点击这里给我发消息