希捷 goflex 家庭存储设备的 saas web 服务受 xss 和 mitm(中间人)攻击威胁
2018-01-25 10:02:15
外媒 1 月 23 日消息,安全专家发现超过 3.3 万 个容易暴露于公网,或引来跨站脚本(xss)和中间人(mitm)攻击。虽然目前希捷已经修补了 personal cloud 和 goflex 产品中的 xss 漏洞,但不幸的是,仍有一些问题尚未解决。
安全专家 sood 介绍,goflex 家庭 nas 设备在 seagateshare.com 上运行了一个可访问的 web 服务,允许用户远程管理设备及其内容,并且可以通过设备名称和登录凭证来访问存储。而 goflex 固件则运行着一个 http 服务器,要求用户在路由器上启用端口转发,以便连接到 web 服务。
跨站脚本(xss)和中间人(mitm)攻击
安全专家 sood 注意到虽然 http 服务器支持过时的协议 sslv2 和 sslv3, 而 web 服务 seagateshare.com 支持 sslv3。 不过这两种协议都能将用户暴露给 mitm 攻击(包括 和 攻击)。
此外,sood 还在 seagateshare.com 网站上发现了一个 xss,攻击者可以利用该 xss 在用户的浏览会话中执行恶意代码,欺骗受害者点击特制链接。
目前希捷只修复了 xss 漏洞,似乎并没有计划修复与 sslv2 和 sslv3 相关的一些问题。
消息来源:,编译:榆榆,校审:fox;
本文由 编译整理,封面来源于网络;【转自】
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权
官方微信