我有一项服务通过SIP INVITE请求发送标识信息,例如FROM头字段中的用户用户名。我想知道是否有人阻止已经访问我的服务器的攻击者创建他们自己的INVITE并将其发送给假装是网络中的另一个用户的另一个用户。谢谢你,并有一个伟大的。
答案 0 :(得分:1)
攻击者无需访问您的服务器即可以用户名发送INVITE请求。他可以从网络的任何地方做到这一点。这是authentication的来源。收件人(UAS)可以质询请求,强制攻击者使用身份验证信息重新发送请求,例如(哈希)密码。
当然,这种机制依赖于攻击者没有用户名/密码组合。如果他已经可以访问您的服务器,这可能会成为一个问题。但我认为在这种情况下你可能会遇到更大的问题。