打印机威胁:嵌入式Web服务有安全问题
2014-02-20 12:18
267 查看
现在大多数打印机、扫描仪,以及VoIP系统等设备都会内建嵌入式的Web服务,这主要是为了方便管理。然而不幸的是,这些设备大多会由于设置问题而处在无保护状态下。有些服务甚至可以使用默认的帐号和密码访问,甚至根本没有做任何保护。更糟的是,错误的设置有可能会让嵌入式Web服务面向外部开放,导致资料外洩。
以上就是Michael Sutton在“美国黑客年会2011”上所做的简报内容。他谈到了嵌入式Web服务,以及在互联网上有许多具备可被公开访问的嵌入式Web服务所带来的潜在威胁。
例如,HP扫描仪的Web Scan主要是为了提供远程文件扫描功能,这个功能可以让人在远方那个通过网络读取扫描仪内放置的文件。远程用户也可以调整设置,让扫描过的文件自动传送到指定地址,或通过互联网下载最近扫描文件的副本。打印机同样可以允许没有密码保护的FTP访问,让恶意用户可以很轻易地将恶意文件储存到打印机内。最后,Michael还发现了一些VoIP系统处于开放状态,并展示了如何轻松地获得电话交谈的录音。
通过网页访问设备
你也许会认为,就算有这样的设备,它们也不会被外部访问,或者本身数量就不太多。嗯,我原本也是这样认为。但是在Michael的简报过程中,他通过SHODAN(shodanhq.com)做了一个简单的网页表头扫描,结果显示在公开网络上有数以百计的嵌入式Web服务处于开放状态。
这很危险,因为大多数人甚至不知道自己的设备上有一个开启着的Web服务。因此在不知情的状况下,在他们的网络里留下了漏洞。此外Michael还在他的白皮书内指出:“普通的弱点扫描对这类风险是不够的,因为大多数网页弱点扫描都针对应用服务网页服务器,而不是嵌入式网页服务器。嵌入式网页服务器通常可以被识别出来,但是会和其他网页服务器混杂在一起。因此一般注重XSS或SQL注入攻击的安全审核将不会有效果,因为在嵌入式网页服务器上并没有执行基本测试,例如检查密码强度或开放有风险的功能等。”
作为预防措施,建议用户检查可能有嵌入式网页服务器的网络设备,并确保不会开放给外部网络。同时也建议关闭某些具有潜在风险和不需要的功能。最后,一定要更改服务器的默认密码,因为默认密码基本上就等于没有密码。
编后语:看到这篇文章的网友、读者可以去看看自己公司的打印机、扫描仪是否使用的是默认帐号和密码,如果是的话,去提醒下单位的系统管理人员吧。
以上就是Michael Sutton在“美国黑客年会2011”上所做的简报内容。他谈到了嵌入式Web服务,以及在互联网上有许多具备可被公开访问的嵌入式Web服务所带来的潜在威胁。
例如,HP扫描仪的Web Scan主要是为了提供远程文件扫描功能,这个功能可以让人在远方那个通过网络读取扫描仪内放置的文件。远程用户也可以调整设置,让扫描过的文件自动传送到指定地址,或通过互联网下载最近扫描文件的副本。打印机同样可以允许没有密码保护的FTP访问,让恶意用户可以很轻易地将恶意文件储存到打印机内。最后,Michael还发现了一些VoIP系统处于开放状态,并展示了如何轻松地获得电话交谈的录音。
通过网页访问设备
你也许会认为,就算有这样的设备,它们也不会被外部访问,或者本身数量就不太多。嗯,我原本也是这样认为。但是在Michael的简报过程中,他通过SHODAN(shodanhq.com)做了一个简单的网页表头扫描,结果显示在公开网络上有数以百计的嵌入式Web服务处于开放状态。
这很危险,因为大多数人甚至不知道自己的设备上有一个开启着的Web服务。因此在不知情的状况下,在他们的网络里留下了漏洞。此外Michael还在他的白皮书内指出:“普通的弱点扫描对这类风险是不够的,因为大多数网页弱点扫描都针对应用服务网页服务器,而不是嵌入式网页服务器。嵌入式网页服务器通常可以被识别出来,但是会和其他网页服务器混杂在一起。因此一般注重XSS或SQL注入攻击的安全审核将不会有效果,因为在嵌入式网页服务器上并没有执行基本测试,例如检查密码强度或开放有风险的功能等。”
作为预防措施,建议用户检查可能有嵌入式网页服务器的网络设备,并确保不会开放给外部网络。同时也建议关闭某些具有潜在风险和不需要的功能。最后,一定要更改服务器的默认密码,因为默认密码基本上就等于没有密码。
编后语:看到这篇文章的网友、读者可以去看看自己公司的打印机、扫描仪是否使用的是默认帐号和密码,如果是的话,去提醒下单位的系统管理人员吧。
相关文章推荐
- web服务安全-之-主机威胁与对策
- web服务安全 之 应用程序威胁与对策
- 打印机扫描仪等嵌入式Web服务存在潜在威胁
- WCF:在 WCF Web 服务和 SharePoint 2010 安全令牌服务之间建立信任关系(第 3 部分,共 4 部分)
- Dynamics CRM2016 升级老版本报“JavaScript Web 资源包含对 Microsoft Dynamics CRM 4.0 (2007) Web 服务终结点的引用”问题的解决办法
- 通过 WebSphere Application Server V6 实现 Web 服务安全——第 5 部分
- 由Strurts2漏洞引开谈谈web代码安全问题
- 使用 Rational AppScan 检测 Web 服务安全漏洞
- 【安全资讯】中国BAT巨头Web浏览器隐私和安全问题
- 保障Web服务的安全
- html语言在嵌入式web服务器上的一个小问题
- .Net下调用Java安全Web服务
- 嵌入式linux下使用busybox的crond服务的方法+问题及解决
- 我对“云计算”服务安全问题的几点疑惑
- ASP 中Scripting.FileSystemObject 对象对 IIS WEB 服务器数据安全的威胁及对策
- 关于Office web apps的问题:写CheckFileInfo服务时遇到的问题
- web安全问题-2.客户端安全
- javaweb-07-Servlet的线程安全问题
- web开发常见安全问题(SQL注入、XSS攻击、CSRF攻击)
- 用ewebeditor的用户注意了,请检查安全问题