現(xiàn)在大多數(shù)打印機、掃描儀，以及VoIP系統(tǒng)等設(shè)備都會內(nèi)建嵌入式的Web服務(wù)，這主要是為了方便管理。然而不幸的是，這些設(shè)備大多會由于設(shè)置問題而處在無保護(hù)狀態(tài)下。有些服務(wù)甚至可以使用默認(rèn)的帳號和密碼訪問，甚至根本沒有做任何保護(hù)。更糟的是，錯誤的設(shè)置有可能會讓嵌入式Web服務(wù)面向外部開放，導(dǎo)致資料外洩。

以上就是Michael Sutton在“美國黑客年會2011”上所做的簡報內(nèi)容。他談到了嵌入式Web服務(wù)，以及在互聯(lián)網(wǎng)上有許多具備可被公開訪問的嵌入式Web服務(wù)所帶來的潛在威脅。

例如，HP掃描儀的Web Scan主要是為了提供遠(yuǎn)程文件掃描功能，這個功能可以讓人在遠(yuǎn)方那個通過網(wǎng)絡(luò)讀取掃描儀內(nèi)放置的文件。遠(yuǎn)程用戶也可以調(diào)整設(shè)置，讓掃描過的文件自動傳送到指定地址，或通過互聯(lián)網(wǎng)下載最近掃描文件的副本。打印機同樣可以允許沒有密碼保護(hù)的FTP訪問，讓惡意用戶可以很輕易地將惡意文件儲存到打印機內(nèi)。最后，Michael還發(fā)現(xiàn)了一些VoIP系統(tǒng)處于開放狀態(tài)，并展示了如何輕松地獲得電話交談的錄音。

通過網(wǎng)頁訪問設(shè)備

你也許會認(rèn)為，就算有這樣的設(shè)備，它們也不會被外部訪問，或者本身數(shù)量就不太多。嗯，我原本也是這樣認(rèn)為。但是在Michael的簡報過程中，他通過SHODAN(shodanhq.com)做了一個簡單的網(wǎng)頁表頭掃描，結(jié)果顯示在公開網(wǎng)絡(luò)上有數(shù)以百計的嵌入式Web服務(wù)處于開放狀態(tài)。

這很危險，因為大多數(shù)人甚至不知道自己的設(shè)備上有一個開啟著的Web服務(wù)。因此在不知情的狀況下，在他們的網(wǎng)絡(luò)里留下了漏洞。此外Michael還在他的白皮書內(nèi)指出：“普通的弱點掃描對這類風(fēng)險是不夠的，因為大多數(shù)網(wǎng)頁弱點掃描都針對應(yīng)用服務(wù)網(wǎng)頁服務(wù)器，而不是嵌入式網(wǎng)頁服務(wù)器。嵌入式網(wǎng)頁服務(wù)器通常可以被識別出來，但是會和其他網(wǎng)頁服務(wù)器混雜在一起。因此一般注重XSS或SQL注入攻擊的安全審核將不會有效果，因為在嵌入式網(wǎng)頁服務(wù)器上并沒有執(zhí)行基本測試，例如檢查密碼強度或開放有風(fēng)險的功能等。”

作為預(yù)防措施，建議用戶檢查可能有嵌入式網(wǎng)頁服務(wù)器的網(wǎng)絡(luò)設(shè)備，并確保不會開放給外部網(wǎng)絡(luò)。同時也建議關(guān)閉某些具有潛在風(fēng)險和不需要的功能。最后，一定要更改服務(wù)器的默認(rèn)密碼，因為默認(rèn)密碼基本上就等于沒有密碼。

編后語：看到這篇文章的網(wǎng)友、讀者可以去看看自己公司的打印機、掃描儀是否使用的是默認(rèn)帳號和密碼，如果是的話，去提醒下單位的系統(tǒng)管理人員吧。