[安全方面 急 help~] 没用户ID的情况下用户被加好友...

3512 1月前 101

我们做的是私域社交,在APP上把【搜索好友】这个功能给删掉了,现在添加好友只能通过扫码添加。

但最近很多用户反馈自己被陌生人请求添加好友。 我这边检查了自己服务器的访问历史,排除服务器泄露的可能。 检查了系统资源日志,也排除了被人穷举userID的可能。

问下还有哪些情况 会导致用户ID泄露,以及现在是否有什么修补办法

最新回复 (9)
  • 鬼影神魔 1月前
    引用 2
    服务器上可以删了。加好友的功能把
  • x86 1月前
    引用 3
    鬼影神魔 服务器上可以删了。加好友的功能把
    这个需求应当可以,请到 https://gitee.com/wfchat/im-server 提个 issue 追踪
  • x86 1月前
    引用 4
    鬼影神魔 服务器上可以删了。加好友的功能把
    有一种可能, 黑客等通过 hook 你们 app 的方式能获取到自己所在群的群成员id,然后通过 api 加好友,请你提个 issue 追踪禁止客户端加好友功能,只允许通过 server api 去设置好友关系
  • 3512 1月前
    引用 5
    中午好,感谢回复。 我们现在想的一个方案是想把所有的接口做成动态鉴权, 这个方案应该可以一定程度上防止有人以接口的形式去执行一些操作。  想咨询下这个方案是否可行【我是产品,先帮开发做下调研】
  • 3512 1月前
    引用 6

    目前怀疑一种可能是 id只有前面2位在变化, 后面的格式全都固定 导致被坏人发现规律 人肉穷举。

    关于问题的描述在这里, 现在技术同事在研究解决方案中

  • HeavyRain 1月前
    引用 7
    1,有种可能是穷举电话号码,搜索到用户后添加的,IM服务配置文件中有个 friend.disable_search 为true时可以禁止搜索用户。
    2,有可能是id被穷举,如果使用野火生成的ID,那么很容易根据源码得到ID的生成规律。建议用户id不要用野火生成的,用自己系统的用户id或者uuid。
    3,IM服务配置文件中 friend.disable_friend_request 可以关掉客户端添加好友功能,你们可以修改客户端逻辑,所有请求添加好友都通过你们业务服务调用server api,这样就可以在业务服务判断和控制是否是有人穷举添加好友。
    4,有没有可能是某些页面能够选择添加好友
  • HeavyRain 1月前
    引用 8
    可以在IM服务t_friend_request表中查询到用户请求还有和响应情况,还有查看好友添加后的对话,可以根据这里面的信息判断出是否有异常用户,可以对异常用户进行封禁
  • 3512 1月前
    引用 9
    感谢回复!提到封禁用户, 我们还碰到一个问题,  我们把这些恶意账号后台已经封禁了, 但这些账号还能进行好友添加, 这个麻烦问下一般都是什么原因~
  • HeavyRain 1月前
    引用 10
    理论上封禁了,就不能再登录了,是不能再添加的,你可以看看日志是不是用户还能连进来
返回