草坪厂家
免费服务热线

Free service

hotline

010-00000000
草坪厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

警惕黑客利用VoIP的XSS跨站脚本攻击

发布时间:2020-06-30 16:25:28 阅读: 来源:草坪厂家

2007/10/19

目前出现一种控制用户计算机的新方法:IP电话。安全研究人员Radu State上个星期发现Linksys SPA-941(5.1.8版本)IP电话产品中存在一个安全漏洞,能够让黑客利用VoIP重要标准之一的SIP(会话起始协议)实施跨站脚本攻击(XSS)。 State在安全邮件列表中发表的帖子指出,虽然对SIP协议上的VoIP设备展开攻击很困难,因为这种设备通常有客户化的结构和操作系统,但是,许多这种系统都嵌入在网络服务器中,利用缓存溢出安全漏洞能够攻破这些系统。 State把SIP安全漏洞列为“非常高的”安全漏洞。他写道,大多数防火墙/入侵保护系统都不能防御通过SIP协议发动的XSS攻击。此外,用户将从内部网络直接连接这些设备,因此,内部网络能够被攻破。 Secure Computing公司技术副总裁Paul Henry同意这个观点。他在电话采访中说,SIP是目前大多数计算机安全产品中的盲点。他是第一次看到通过VoIP实施的XSS攻击。他说,我认为这是一个严重的问题,因为这也许是许多基于SIP协议的攻击的第一次攻击。 Henry认为,VoIP从根本上说是不安全的,因为SIP设备缺少真正的身份识别。他认为,太多的公司需要VoIP节省成本的功能,从而没有投资VoIP安全。安全肯定是这些公司采用VoIP之后才发现的问题。 目前已经出现了几起涉及到VoIP突破的典型案例。例如,经营迈阿密的一家小型VoIP电话公司的Edwin Pena今年年初被逮捕,被指控突破其它的VoIP服务并且把通过他们的线路转接电话。他被指控利用这种方法赚了100多万美元。 事实是互联网上提供的免费的VoIP破解工具计划肯定要导致这种事情的发生。 然而,Henry认为,可以采取一些措施使VoIP更加安全。他建议采用应用层防火墙、基于声誉的防御措施和杀毒扫描。 虽然State发现的安全漏洞适用于具体的Linksys硬件,但是,Henry怀疑其它的VoIP设备也有同样的安全漏洞。他说,如果我在其它厂商的电话中发现同样的安全漏洞,我不会感到惊奇。我把这个问题看作是冰山的一角。IT专家网

泰安工服订做

制做工程服

太原定制西装

相关阅读