我知道从这个线程禁用 CURLOPT_SSL_VERIFYHOST 时可能发生哪些攻击。我想知道禁用 VERIFYPEER 而不是 _VERIFYHOST 时可能发生哪些攻击。使用信用卡付款的风险是否可以接受?
(我问的原因是因为我的code仅适用于禁用 _VERIFYPEER 的情况,尽管似乎没有人知道原因)
如果您禁用CURLOPT_SSL_VERIFYPEER
,curl 不会检查证书是否确实由受信任的机构签名。这是非常危险的!在 MITM 情况下,没有VERIFYPEER
,攻击者可以简单地用自己的“自签名”证书替换真实的证书,只要主机名匹配(他总是可以这样做,因为他正在制作证书),您的应用程序就会接受它。
您的代码可能会失败,因为您没有设置 CA 证书存储,并且您正在交谈的服务器是由不在 curl 的默认存储库中的 CA 签名的。考虑使用CURLOPT_CAINFO
or CURLOPT_CAPATH
指定要验证的证书,并确保用于验证的证书可访问并且与目标服务器的证书匹配。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)