Scrawl — скриншотер сайтов и безопасность веб-интерфейсов SIP-устройств

    Все началось с того, что некоторые абоненты, подключающиеся по протоколу SIP к нашей корпоративной АТС без использования VPN, не соблюдали основы безопасности и оставляли на внешнем IP-адресе доступ к веб-интерфейсу или роутера, или IP-шлюза со стандартным логином-паролем. Что дает потенциальным злоумышленникам возможность получить настройки, прикинуться нашим абонентом и сделать множество звонков по междугородним направлениям.

    Сначала просто CURL'ом подергал IP-адреса абонентов (выявилось, что некоторые аппараты при простом HTTP POST запросе ребутятся), а затем захотелось как-нибудь с изюминкой просканировать да красоту получить. В общем, получился Scrawl — скриншотер сайтов (сайт проекта, репозиторий).

    На модной волне headless браузеров захотелось попробовать PhantomJS, более удобный интерфейс к которому дает CasperJS, а затем стало желательно использовать совместно с Node.JS, поэтому стал использовать SpookyJS.



    Установили, запустили (подробная инструкция по установке в репозитории проекта) и получили веб-интерфейс для загрузки списка IP-адресов или доменов для последовательного обхода и получения скриншотов. Теперь можно получить где-то со своего оборудования или системы список подлежащих проверке адресов и загрузить их в Scrawl. Последовательно Scrawl обойдет адреса и, в случае ответа по данному адресу, заскриншотит полученный ответ, отрендерив его в браузере.

    В итоге, из трех с половиной сотен просканированных IP-адресов были обнаружены веб-интерфейсы на двух десятках адресов, из которых три девайса оказались со стандартными логинами-паролями.



    Из нереализованного. С ходу не получилось многопоточной обработки списка URLов, поэтому пока по очереди. Например, 200 IP адресов проверялись неспешно полтора часа. Еще можно реализовать автоматическую проверку стандартного пароля в зависимости от девайса, но это необходимо реализовать сценарии, т.к. где-то http авторизация, где-то формы, где формы там либо есть и логин, и пароль, либо только пароль, да и имена полей форм везде разные (видел подобное у Джона Резига в репозитории). Пока проще на обнаруженных веб-интерфейсах ручками ввести пары admin/admin, admin/1234, и, если не подошли, то успокоиться.

    Надеюсь, кому-ннибудь пригодится в повседневной работе, и вы найдете применение скриншотеру Scrawl.
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 0

    Only users with full accounts can post comments. Log in, please.