首頁(yè)>>>技術(shù)>>>VoIP

警惕:黑客利用VoIP的XSS跨站腳本攻擊

2007/10/19

  目前出現一種控制用戶(hù)計算機的新方法:IP電話(huà)。安全研究人員Radu State上個(gè)星期發(fā)現Linksys SPA-941(5.1.8版本)IP電話(huà)產(chǎn)品中存在一個(gè)安全漏洞,能夠讓黑客利用VoIP重要標準之一的SIP(會(huì )話(huà)起始協(xié)議)實(shí)施跨站腳本攻擊(XSS)。

  State在安全郵件列表中發(fā)表的帖子指出,雖然對SIP協(xié)議上的VoIP設備展開(kāi)攻擊很困難,因為這種設備通常有客戶(hù)化的結構和操作系統,但是,許多這種系統都嵌入在網(wǎng)絡(luò )服務(wù)器中,利用緩存溢出安全漏洞能夠攻破這些系統。

  State把SIP安全漏洞列為“非常高的”安全漏洞。他寫(xiě)道,大多數防火墻/入侵保護系統都不能防御通過(guò)SIP協(xié)議發(fā)動(dòng)的XSS攻擊。此外,用戶(hù)將從內部網(wǎng)絡(luò )直接連接這些設備,因此,內部網(wǎng)絡(luò )能夠被攻破。

  Secure Computing公司技術(shù)副總裁Paul Henry同意這個(gè)觀(guān)點(diǎn)。他在電話(huà)采訪(fǎng)中說(shuō),SIP是目前大多數計算機安全產(chǎn)品中的盲點(diǎn)。他是第一次看到通過(guò)VoIP實(shí)施的XSS攻擊。他說(shuō),我認為這是一個(gè)嚴重的問(wèn)題,因為這也許是許多基于SIP協(xié)議的攻擊的第一次攻擊。

  Henry認為,VoIP從根本上說(shuō)是不安全的,因為SIP設備缺少真正的身份識別。他認為,太多的公司需要VoIP節省成本的功能,從而沒(méi)有投資VoIP安全。安全肯定是這些公司采用VoIP之后才發(fā)現的問(wèn)題。

  目前已經(jīng)出現了幾起涉及到VoIP突破的典型案例。例如,經(jīng)營(yíng)邁阿密的一家小型VoIP電話(huà)公司的Edwin Pena今年年初被逮捕,被指控突破其它的VoIP服務(wù)并且把通過(guò)他們的線(xiàn)路轉接電話(huà)。他被指控利用這種方法賺了100多萬(wàn)美元。

  事實(shí)是互聯(lián)網(wǎng)上提供的免費的VoIP破解工具計劃肯定要導致這種事情的發(fā)生。

  然而,Henry認為,可以采取一些措施使VoIP更加安全。他建議采用應用層防火墻、基于聲譽(yù)的防御措施和殺毒掃描。

  雖然State發(fā)現的安全漏洞適用于具體的Linksys硬件,但是,Henry懷疑其它的VoIP設備也有同樣的安全漏洞。他說(shuō),如果我在其它廠(chǎng)商的電話(huà)中發(fā)現同樣的安全漏洞,我不會(huì )感到驚奇。我把這個(gè)問(wèn)題看作是冰山的一角。

IT專(zhuān)家網(wǎng)


相關(guān)鏈接:
Asterisk cdr_addon_mysql插件SQL注入漏洞 2007-10-19
UC何時(shí)顛覆傳統語(yǔ)音? 2007-10-17
免費?VoIP+WiFi+手機對固定電話(huà)的沖擊 2007-10-16
VoIP手機:在中國此路不通 2007-10-16
IT巨頭爭霸統一通信 PBX廠(chǎng)商縱深發(fā)展 2007-10-11

分類(lèi)信息:        
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 铜鼓县| 土默特右旗| 九龙坡区| 丰镇市| 丹阳市| 大港区| 葵青区| 军事| 宜州市| 深泽县| 潍坊市| 托克逊县| 舞阳县| 富蕴县| 喀喇| 姜堰市| 五河县| 乐业县| 灵台县| 静海县| 阿勒泰市| 永宁县| 门源| 疏附县| 弥勒县| 叙永县| 凤冈县| 新津县| 始兴县| 铅山县| 霸州市| 裕民县| 绍兴市| 金川县| 固镇县| 九龙城区| 高淳县| 陆川县| 娄烦县| 洪泽县| 宁国市| http://444 http://444 http://444 http://444 http://444 http://444