Come proteggere la funzione di invio SMS nelle applicazioni Web? Se un'applicazione utilizza un gateway SMS di terze parti, anche gli SMS possono essere falsificati. Come l'attaccante può cambiare il numero di cellulare con firebug e abusare del gateway SMS per inviare alla vittima SMS falsi come messaggi di phishing. Come possiamo proteggere l'applicazione web da questo attacco?
Se il gateway SMS è vulnerabile a questo tipo di attacchi di spoofing, deve essere risolto dal provider del gateway SMS.
Nella maggior parte dei paesi è anche una legge che il numero di telefono di invio non può essere falsificato.
Per quanto riguarda una soluzione, penso che ciò che potresti fare sia creare un'API che accetti solo il messaggio SMS dall'applicazione web.
È possibile configurare un numero di telefono statico nella configurazione dell'API. In cambio, l'API invierà la richiesta al provider del gateway SMS. In questo modo un utente malintenzionato non può vedere e modificare il numero di telefono come viene inviato dall'API.
A meno che non si operi sull'infrastruttura di telefonia dal gateway all'albero, il numero può essere falsificato.
Nonostante il protocollo del pacchetto di dati sia stato progettato per supportare l'associazione di più applicazioni utilizzando i numeri di porta in modo simile a UDP (e quindi inviare messaggi multipart / crittografati / firmati), in pratica sarebbe difficile stabilire un tale appuntamento sulla maggior parte telefoni cellulari.
Quindi, se vuoi risolvere il problema, devi solo far sì che tutti gli operatori di telefonia mobile e i produttori del mondo (o una maggioranza significativa di essi) concordino su un nuovo protocollo.
O semplicemente tunnel i dati crittografati / firmati tramite WAP o email.
Leggi altre domande sui tag sms