我知道,从这个线程什么攻击是可能的时候CURLOPT_SSL_VERIFYHOST被禁用。 我想知道是什么攻击是可能的时候VERIFYPEER,不_VERIFYHOST,被禁用。 它是用信用卡支付可接受的风险?
(我问的原因是因为我的代码只能与_VERIFYPEER禁用,但似乎没有人知道为什么)
Answer 1:
如果禁用CURLOPT_SSL_VERIFYPEER ,卷曲不会检查证书实际上是由受信任的机构签署的。 这是非常危险的! 在MITM情况下,没有VERIFYPEER ,攻击者可以简单地替代自己的“自签名”证书的真正证书,只要主机名匹配(他总能做到,因为他正在证书),您的应用程序将接受它。
你的代码很可能失败,因为你没有足够的CA证书存储区设置呢,和你谈话的服务器是由卷曲的默认存储库中的CA未签名。 考虑使用CURLOPT_CAINFO或CURLOPT_CAPATH指定证书验证反对,并确保您使用的验证证书的访问,与目标服务器的证书。
文章来源: Security consequences of disabling CURLOPT_SSL_VERIFYPEER (libcurl/openssl)
