嵌入式Web服务的威胁

　　嵌入式Web服务的威胁

　　在复印机、打印机及扫描仪这类设备上，往往具备嵌入式Web服务以方便使用者操作，但同时这也意味着更多安全风险。Zscaler实验室的安全 研究副总裁Michael Sutton向黑帽大会反映，事实上我们能够从保持开机状态的此类设备处轻松获取到最近扫描或复印的文件内容。他说他可以利用自己编写的脚本对大块的IP 地址进行扫描，并识别出Web数据头残留的蛛丝马迹，进而找到对应的Web服务器。值得强调的是，"整个过程都不涉及侵入行为，"Sutton说道。

　　伪造路由器列表

　　在黑帽大会上，某位研究员透露了一项路由器短路径优先协议(简称OSPF)漏洞，即攻击者能够在基于该协议的路由器上安装伪造的路由器列表。这 使得使用此协议的路由器面临着数据流缺陷、伪造网络拓扑图以及创建破坏性路由循环的风险。至于解决方案嘛，利用诸如RIP、IS-IS之类的其它协议或是 改变短路径优先协议的内容都能有效规避此漏洞，Gabi Nakibly说道，他是以色列Electronic Warfare研究与模拟中心的研究员，也正是此问题的发现者。

　　SAP缺陷

　　SAP公司的NetWeaver软件中存在着一项缺陷，允许攻击者回避ERP系统中的身份验证步骤，安全公司ERPScan的研究员 Alexander Polyakov说道，正是他在黑帽大会上发布了此成果。这意味着攻击者们能够获取访问进而删除数据的权限，他说。通过谷歌搜索的方式，他随机抽取了包含 此缺陷的各类服务器，其中有大约半数都沦陷在他的攻击之下，他说。而SAP公司则表示正计划为此问题发布修正方案。