sip:防止INVITE请求信息欺骗
Sip: Prevent INVITE request information spoofing
我有一个通过 SIP INVITE 请求发送身份信息的服务,例如 FROM header 字段中的用户用户名。我想知道这些是否有人可以阻止已经可以访问我的服务器的攻击者创建他们自己的 INVITE 并将其发送给假装是网络中另一个用户的另一个用户。谢谢你,祝你玩得开心。
攻击者无需访问您的服务器即可以您的用户名发送 INVITE 请求。他可以从网络中的任何地方做到这一点。这就是 authentication 的用武之地。接收方 (UAS) 可以质疑请求,迫使攻击者重新发送带有身份验证信息(例如(散列)密码)的请求。
当然,这种机制依赖于攻击者没有 username/password 组合。如果他已经可以访问您的服务器,这可能会证明是一个问题。但我认为在那种情况下你可能会有更大的问题。
我有一个通过 SIP INVITE 请求发送身份信息的服务,例如 FROM header 字段中的用户用户名。我想知道这些是否有人可以阻止已经可以访问我的服务器的攻击者创建他们自己的 INVITE 并将其发送给假装是网络中另一个用户的另一个用户。谢谢你,祝你玩得开心。
攻击者无需访问您的服务器即可以您的用户名发送 INVITE 请求。他可以从网络中的任何地方做到这一点。这就是 authentication 的用武之地。接收方 (UAS) 可以质疑请求,迫使攻击者重新发送带有身份验证信息(例如(散列)密码)的请求。
当然,这种机制依赖于攻击者没有 username/password 组合。如果他已经可以访问您的服务器,这可能会证明是一个问题。但我认为在那种情况下你可能会有更大的问题。