CTI论坛: 警惕：黑客利用VoIP的XSS跨站脚本攻击

	首页　新闻　文摘　行业　产品　技术　厂商　标准　 BBS　导航　搜索
呼叫中心 \| CRM \| 统一通信 \| 企业通信 \| VoIP \| 视像通讯 \| 语音应用 \| 热点专题

首页>>>技术>>>VoIP

警惕：黑客利用VoIP的XSS跨站脚本攻击

2007/10/19

　　目前出现一种控制用户计算机的新方法：IP电话。安全研究人员Radu State上个星期发现Linksys SPA-941(5.1.8版本)IP电话产品中存在一个安全漏洞，能够让黑客利用VoIP重要标准之一的SIP(会话起始协议)实施跨站脚本攻击(XSS)。

　　State在安全邮件列表中发表的帖子指出，虽然对SIP协议上的VoIP设备展开攻击很困难，因为这种设备通常有客户化的结构和操作系统，但是，许多这种系统都嵌入在网络服务器中，利用缓存溢出安全漏洞能够攻破这些系统。

　　State把SIP安全漏洞列为“非常高的”安全漏洞。他写道，大多数防火墙/入侵保护系统都不能防御通过SIP协议发动的XSS攻击。此外，用户将从内部网络直接连接这些设备，因此，内部网络能够被攻破。

　　Secure Computing公司技术副总裁Paul Henry同意这个观点。他在电话采访中说，SIP是目前大多数计算机安全产品中的盲点。他是第一次看到通过VoIP实施的XSS攻击。他说，我认为这是一个严重的问题，因为这也许是许多基于SIP协议的攻击的第一次攻击。

　　Henry认为，VoIP从根本上说是不安全的，因为SIP设备缺少真正的身份识别。他认为，太多的公司需要VoIP节省成本的功能，从而没有投资VoIP安全。安全肯定是这些公司采用VoIP之后才发现的问题。

　　目前已经出现了几起涉及到VoIP突破的典型案例。例如，经营迈阿密的一家小型VoIP电话公司的Edwin Pena今年年初被逮捕，被指控突破其它的VoIP服务并且把通过他们的线路转接电话。他被指控利用这种方法赚了100多万美元。

　　事实是互联网上提供的免费的VoIP破解工具计划肯定要导致这种事情的发生。

　　然而，Henry认为，可以采取一些措施使VoIP更加安全。他建议采用应用层防火墙、基于声誉的防御措施和杀毒扫描。

　　虽然State发现的安全漏洞适用于具体的Linksys硬件，但是，Henry怀疑其它的VoIP设备也有同样的安全漏洞。他说，如果我在其它厂商的电话中发现同样的安全漏洞，我不会感到惊奇。我把这个问题看作是冰山的一角。

IT专家网

【发表评论】

　　·Dialogic IP呼叫中心及增值业务主题研讨会　[11月27 成都] 　
　　·面对严峻经济形势，如何降低联络中心成本　[11月26-28 上海北京]　
　　·招聘：亿迅（中国）拓敏信息易谷网络盈联信息商路通怡海软件

　　·《2008中国呼叫中心产业发展研究报告》　　　免费下载简本　
　　·最新资料:《企业呼叫中心建设指南》《企业通信案例及方案大全》
　　·免费索取:《多媒体交换机资料》　　技术前沿资料：《IP、无线和视频方案》

　　·鼎晟DS-iTouch联络中心
　　·东进Seegoe Enterprise/Office呼叫中心产品介绍
　　·新太科技企业呼叫中心解决方案

　　

企业会员

	华瑞中鹏	井星科技	Voxeo
	FDS	上海盈联	易宝通讯
加入办法 ->

CTI论坛推荐

	·语音合成：InterPhonic 5.5在线演示系统
	·东进技术:Seegoe Enterprise/Office呼叫中心
	·HXD09可编程智能语音交换机
	·鼎晟DS-iTouch联络中心
	·新太科技企业呼叫中心解决方案
	·上海维卡推出VN系列电话语音卡
	·CTstage 5i客户联络中心-适用大规模分散网点
	·三友亚星:上海红孩子电话营销和客服系统

\|业界新闻\|论坛文摘\|行业应用\|产品展示\|技术天地\|厂商汇总\|免责声明\|咨询服务\|公司简介\|联系方法\|广告服务\|企业会员\|
	编辑投稿信箱　　　　　　如何查找厂商联系方法
	电话：010-82012787,82079677 　传真：010-62041062
	呼叫中心建设及运营管理咨询服务：优胜资讯（010）87768798 87768726