跨站打印攻击网络打印机成攻击新途径

美国宾夕法尼亚州波特斯敦一家金融公司的安全经理亚伦·韦弗(Aaron Weaver)发现了一种从网络向打印机发送垃圾短信的方法。Weaver在大多数浏览器中使用一个鲜为人知的功能，让网页指挥受害者网络上的任何打印机工作。这个网站允许打印机打印攻击者指定的广告，理论上，网站还可以发送更危险的指令，比如告诉打印机发送传真、格式化硬盘或下载新固件。

周二，韦弗在Ha.ckers.org网站上发表了一篇研究论文，称这种攻击被称为“跨站打印”。要使跨站打印攻击生效，受害者必须访问具有跨站脚本攻击安全漏洞的恶意网站或合法网站。针对安全漏洞的跨站脚本攻击是网络编程中的常见错误。黑客会向用户的浏览器发送JavaScript代码，猜测受害者打印机的位置并发送指令使打印机工作。

Weaver利用IE浏览器和Firefox浏览器成功实施了攻击。这种攻击只对网络打印机有效，直接连接PC的打印机不会受到这种攻击。

这种攻击是可能的，因为大多数浏览器可以连接到大多数打印机使用的端口来查找新的打印作业。因此，攻击者可以使用浏览器作为跳板来连接局域网打印机。这是攻击者从未到达的地方。

虽然之前没有人演示过这种独特的攻击方法，但Weaver的研究是基于网络安全研究人员熟悉的两个概念:跨站脚本攻击和浏览器处理互联网协议中安全漏洞的方法。网络安全咨询公司SecTheory首席执行官、Ha.ckers.org网站所有者罗伯特·汉森表示，这种攻击是前所未有的。但是，他所做的，是把我们讲了很久的两个概念结合起来。

研究人员展示了如何使用浏览器作为电子邮件或VoIP服务器的网关。他们认为，由于浏览器具有连接互联网和局域网的功能，将成为网络攻击的重要来源。汉森表示，将在浏览器中发现更多的安全漏洞。

韦弗说，他担心他的研究结果可能会导致互联网上新的攻击。这就是为什么他推迟发表论文，没有公布所有利用安全漏洞的代码。

跨站点打印机垃圾会很快出现在网络上吗？韦弗认为这种事情很可能会发生。他说垃圾邮件发送者会不择手段。