跨站打印攻击

click196

　　美国宾夕法尼亚州Pottstown市一家金融公司的安全经理阿龙-韦弗(Aaron Weaver)发现一种从网络向打印机发送垃圾信息的方法。韦弗使用大多数浏览器中一种鲜为人知的功能让网页指挥受害人网络上的任何打印机工作。这个网站可以让打印机打印攻击者指定的广告，而且从理论上说，网站还能够发送更危险的指令，如告诉打印机发送一个传真，格式化硬盘或者下载新的固件。

　　韦弗本周二在Ha.ckers.org网站上发表一篇研究论文说，这种攻击称作“跨站打印”。要使跨站打印攻击发挥作用，受害者必须要访问一个恶意网站或者访问一个有跨站脚本攻击安全漏洞的合法网站。跨站脚本攻击安全漏洞在网络编程中是一种常见的错误。黑客会向用户浏览器发送JavaScript代码，猜测受害者打印机的位置并且发送指令让打印机工作。

　　韦弗使用IE浏览器和火狐浏览器成功地实施了攻击。这种攻击仅在网络打印机上有效，直接连接到PC的打印机不会受到这种攻击。

　　由于大多数浏览器都能够连接到多数打印机使用的端口查找新的打印工作，这种攻击是可能的。因此，攻击者能够使用浏览器作为跳板连接到局域网的打印机。这江西广告网セ髡叽永疵挥写锏降牡胤健