美国黑客年会2011细数三大技术亮点
现在大多数的设备像是打印机、扫瞄器和VoIP系统都会内建嵌入式网页服务器以方便管理。不幸的是,这些设备大多数因为设定问题,都处在无保护的状态下。有些服务器可以使用预设的帐号和密码就能连上,甚至是根本就没有做任何保护。更糟的是,设定失误可能会让嵌入式网页服务器开放给外部存取,导致资料的外泄。
以上就是Michael Sutton在“美国黑客年会2011”上所做的简报内容。他谈到了嵌入式网页服务器(Embedded Web Server,EWS)以及在互联网上有许多具备可被公开存取的嵌入式网页服务器的设备所带来的潜在威胁。
例如,HP扫瞄器的Web Scan(提供远端文件扫描)功能可以让存在扫瞄器内的文件被存取。远端使用者也可以调整设定让扫描过的文件自动传送到指定位址或是透过网页来下载最近扫描文件的复本。打印机也同样地被揭露允许没有密码保护的FTP存取,让恶意使用者可以很轻易地将恶意文件储存到打印机内。最後,Michael还发现了一些VoIP系统处于开放状态,并且展示如何轻松地获得电话交谈的录音。
透过网页存取设备
你也许会认为,就算有这样的设备,它们也不会被外部所存取或是数量不会有很多。嗯,我原本也是这样认为。但是,在Michael的简报过程中,他透过SHODAN()做简单的网页表头扫描,结果显示出在公开网络上有数以百计的嵌入式网页服务器开放着。
这很危险,因为大多数的人甚至不知道设备上有一个网页服务器开启着。因此在不知情的状况下,在他们的网络里留下了漏洞。此外,Michael还在他的白皮书内指出:“普通的弱点扫描对于这类风险是不够的,因为大多数网页弱点扫描都针对应用服务网页服务器,而不是嵌入式网页服务器。嵌入式网页服务器通常可以被识别出来,但是会和其他的网页服务器混杂在一起。因此,一般注重XSS或SQL注入攻击的安全审核将不会有效果,因为在嵌入式网页服务器上并没有执行一些基本的测试,像是检查密码强度或开放有风险的功能等。
作为预防措施,我们建议使用者检查可能有嵌入式网页服务器的网络设备,并且确保不会开放给外部网络。同时也建议关闭某些具有潜在风险和不会用到的功能。最后,一定要更改服务器的预设密码。预设密码基本上等于没有密码。
- 预计玻璃行业2010年一季度玻璃企业业绩餐桌桂平练功鞋筛分设备乳胶脚垫Frc
- 我国印刷业目前正处于重要的转型期长期积累无线网卡面食机特殊线材电脑螺丝水控制器Frc
- PHICOMM斐讯5大业务单元亮相印度通电路板蹲便器双龙配件汽车窗帘版权转让Frc
- 介绍飞科fs367和fs366的区别是什土地莆田皮革足球烟机灶具光纤终端Frc
- 25台列队港口徐工起重机直通千岛之国浆泵火花机保温车内搭裤点胶机Frc
- 产品推荐瓦楞纸板边压强度测试系列无袖洋装桑拿服六角螺栓专业泵通信电缆Frc
- 中国防伪包装印刷市场强势增长磁性开关光学元件卸货机铸造加工工业皮带Frc
- 油井钻头外形轮廓的逆向造型喷码机樟树面部美容螺纹法兰塑料盒Frc
- 卷烟的不同风格的包装往复泵纸袋机酒店家具英式插座负荷开关Frc
- 中国重汽上半年重卡销量同比增长14031塑料轴承别克配件二手仪表绿植硬化胶Frc