• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Включена служба HTTP

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:A/AC:M/Au:N/C:P/I:P/A:N)
Производитель ПО
Наименование ПО
Cisco IOS (System information)
Описание
Протокол HTTP используется для предоставления различных, часто критически важных веб-служб, таких как информационные службы, службы управления устройствами по сети и пр. Протокол HTTP не обеспечивает шифрование данных, в том числе аутентификационных, при передаче их по соединению между клиентом и сервером.
Так как протокол HTTP не обеспечивает шифрование данных, злоумышленник, прослушивающий HTTP-сессию, сможет получить всю информацию и все учетные данные аутентификации, передаваемые в рамках данной сессии. После этого злоумышленник может попытаться получить доступ к устройству с помощью перехваченных данных аутентификации. В случае успеха атакующий получит доступ к системе в контексте пользователя, чьи учетные данные были использованы. Поскольку протокол HTTP часто применяется для управления сетевыми устройствами, подобная атака может позволить злоумышленнику получить права доступа администратора.
Как исправить
Отключите HTTP-сервер, используя следующую команду:
hostname(config)#no ip http server
Ссылки