現在大多數打印機、掃描儀，以及VoIP系統等設備都會內建嵌入式的Web服務，這主要是為了方便管理。然而不幸的是，這些設備大多會由于設置問題而處在無保護狀態下。有些服務甚至可以使用默認的帳號和密碼訪問，甚至根本沒有做任何保護。更糟的是，錯誤的設置有可能會讓嵌入式Web服務面向外部開放，導致資料外洩。

以上就是Michael Sutton在“美國黑客年會2011”上所做的簡報內容。他談到了嵌入式Web服務，以及在互聯網上有許多具備可被公開訪問的嵌入式Web服務所帶來的潛在威脅。

例如，HP掃描儀的Web Scan主要是為了提供遠程文件掃描功能，這個功能可以讓人在遠方那個通過網絡讀取掃描儀內放置的文件。遠程用戶也可以調整設置，讓掃描過的文件自動傳送到指定地址，或通過互聯網下載最近掃描文件的副本。打印機同樣可以允許沒有密碼保護的FTP訪問，讓惡意用戶可以很輕易地將惡意文件儲存到打印機內。最后，Michael還發現了一些VoIP系統處于開放狀態，并展示了如何輕松地獲得電話交談的錄音。

通過網頁訪問設備

你也許會認為，就算有這樣的設備，它們也不會被外部訪問，或者本身數量就不太多。嗯，我原本也是這樣認為。但是在Michael的簡報過程中，他通過SHODAN(shodanhq.com)做了一個簡單的網頁表頭掃描，結果顯示在公開網絡上有數以百計的嵌入式Web服務處于開放狀態。

這很危險，因為大多數人甚至不知道自己的設備上有一個開啟著的Web服務。因此在不知情的狀況下，在他們的網絡里留下了漏洞。此外Michael還在他的白皮書內指出：“普通的弱點掃描對這類風險是不夠的，因為大多數網頁弱點掃描都針對應用服務網頁服務器，而不是嵌入式網頁服務器。嵌入式網頁服務器通常可以被識別出來，但是會和其他網頁服務器混雜在一起。因此一般注重XSS或SQL注入攻擊的安全審核將不會有效果，因為在嵌入式網頁服務器上并沒有執行基本測試，例如檢查密碼強度或開放有風險的功能等。”

作為預防措施，建議用戶檢查可能有嵌入式網頁服務器的網絡設備，并確保不會開放給外部網絡。同時也建議關閉某些具有潛在風險和不需要的功能。最后，一定要更改服務器的默認密碼，因為默認密碼基本上就等于沒有密碼。

編后語：看到這篇文章的網友、讀者可以去看看自己公司的打印機、掃描儀是否使用的是默認帳號和密碼，如果是的話，去提醒下單位的系統管理人員吧。