El Monday 05 November 2007 19:21:52 Jesus Rodriguez escribió:
A todo esto, entonces ya no soy tan paranoico con lo de permitir llamadas directas a usuarios si el atacante conoce el "Contact" de uno de ellos, ¿no? XDDDDD
Esto aún no lo he acabado de entender... me lo cuentas en Madrid con un mapa :)
Jesús, ya he implementado el mecanismo para evitar ese "gran" problema del que te hablaba (y que te dibujé con un mapa en el SIMO).
Finalmente queda: - He añadido una IP virtual. - OpenSer escucha en ella (por necesidad para poder rutar por ella). - Bloqueo mensajes entrantes por esa IP (miro $Ri). - Las outbound las saco por allí con: force_send_socket(IP_alias:5060);
Funciona perfectamente y la vulnerabilidad se acabó ;)
Gracias por toda la ayuda.