現在大多數印表機、掃瞄器,以及voip系統等裝置都會內建嵌入式的web服務,這主要是為了方便管理。然而不幸的是,這些裝置大多會由於設定問題而處在無保護狀態下。有些服務甚至可以使用預設的帳號和密碼訪問,甚至根本沒有做任何保護。更糟的是,錯誤的設定有可能會讓嵌入式web服務面向外部開放,導致資料外洩。
以上就是michael sutton在「美國黑客年會2011」上所做的演示文稿內容。他談到了嵌入式web服務,以及在網際網路上有許多具備可被公開訪問的嵌入式web服務所帶來的潛在威脅。
通過網頁訪問裝置
你也許會認為,就算有這樣的裝置,它們也不會被外部訪問,或者本身數量就不太多。嗯,我原本也是這樣認為。但是在michael的演示文稿過程中,他通過shodan(shodanhq.com)做了乙個簡單的網頁表頭掃瞄,結果顯示在公開網路上有數以百計的嵌入式web服務處於開放狀態。
這很危險,因為大多數人甚至不知道自己的裝置上有乙個開啟著的web服務。因此在不知情的狀況下,在他們的網路裡留下了漏洞。此外michael還在他的***內指出:「普通的弱點掃瞄對這類風險是不夠的,因為大多數網頁弱點掃瞄都針對應用服務網頁伺服器,而不是嵌入式網頁伺服器。嵌入式網頁伺服器通常可以被識別出來,但是會和其他網頁伺服器混雜在一起。因此一般注重xss或sql注入攻擊的安全審核將不會有效果,因為在嵌入式網頁伺服器上並沒有執行基本測試,例如檢查密碼強度或開放有風險的功能等。」
作為預防措施,建議使用者檢查可能有嵌入式網頁伺服器的網路裝置,並確保不會開放給外部網路。同時也建議關閉某些具有潛在風險和不需要的功能。最後,一定要更改伺服器的預設密碼,因為預設密碼基本上就等於沒有密碼。
@原文出處:blackhat2011: dangers of embedded web servers
本文版權為趨勢科技
愛趨勢社群--
官方微博—拿禮品,分享最新it
資訊趨勢科技ceo
:陳怡樺evachen
的微博
掃瞄器詳解
一 掃瞄器的定義 掃瞄器是一種獲取影象的裝置,並將資訊轉為電腦可以顯示 編輯 儲存和輸出的數字格式。即可以完成以下工作 在檔案中插隊圖和 將文字識別,免去打字 將傳真檔案掃到庫中存檔 在多 中加入影象 在報刊中加入有效表達主題。二 掃瞄器的工作原理 將光線照到待掃瞄的稿件上,光線反向回平後再由乙個稱...
詞法掃瞄器設計
詞法掃瞄器設計 2007 10 24 21 22除錯通過 include iostream.h include stdlib.h include fstream.h include stdio.h include string.h the length of token if 9 define ma...
編寫漏洞掃瞄器
編寫漏洞掃瞄器 一 漏洞掃瞄器基本原理 編寫漏洞掃瞄器探查遠端伺服器上可能存在的具有安全隱患的檔案是否存在,它的socket建立過程和上面的埠掃瞄器是相同的,所不同的是漏洞掃瞄器通常使用80埠,然後對這個埠傳送乙個get檔案的請求,伺服器接收到請求會返回檔案內容,如果檔案不存在則返回乙個錯誤提示,通...