Изпращане на SMS-спам организация, catamobile
Атаката се реализира?
Схематично, принципът на действие на този SMS-портал е показано на илюстрацията по-горе.
Тези SMS-шлюзове е известно, че много потребители, благодарение на възможността за изпращане на безплатни SMS-съобщения от сайтове в интернет.
Малко хора знаят, че едни и същи SMS-шлюзовете ви позволи да ги свърже с търговските заявленията за масово изпращане на SMS-съобщения.
За връзка с търговски приложения в SMS-портал е специален интерфейс взаимодействие. Обикновено, този интерфейс е ясно изразен последователността на HTTP-заявки обмен.
За съжаление, по-сериозен контрол върху търговските шлюзове в момента не е налице, така че нападателите могат да ги използват като трамплин за нападения.
Дайте конкретни примери на този вид атака. Ще подчертая, че в кода на програмата съдържа умишлени грешки, които няма да позволят да се използва този код за егоистични цели, но въпреки това демонстрира реална опасност от случаите на SMS-спам.
Също така се уверете, че в текста на програмата на нападателя умишлено не споменава имената на опасни SMS-шлюзове.
Primitive интерфейс HTTP / HTTPS за достъп до SMS-шлюзове позволява да се организира масовото изпращане с помощта на скриптов език, не е дори и най-опитните потребители. В този случай, всяка преработка на повечето SMS-шлюзове за няма спам.
Според протокола работи SMS-портал първо прави заявка към сесията чрез изпращане на SMS-съобщения [7]. Отговорът е получена от PHP-функция файл, и се проверява за разрешение за изпращане на SMS [8]. Тази проверка се извършва чрез сравняване на отговора с позоваване на "ОК". В случай на успешен тест цикъл на сто комбинация [9].
Всеки един от пасажите в очертанията на телефонния номер е изпратен в един SMS-съобщения. Ако изпращането е било успешно, и това се проверява чрез сравнение на отговора с позоваване на "ОК" [12], се появява следното съобщение за "успех. Съобщението беше изпратено »[12]. Линия с «истинноста недостатъчност» Post [17] ще се показва на екрана на браузъра, ако невалиден идентификационен номер в променливата $ api_id или от сметката на потребителя в SMS-шлюзовете не разполагат с достатъчно пари в брой.