『瀚思彼岸』» 智能家居技术论坛

 找回密码
 立即注册
查看: 10203|回复: 15

[求助] 关于www文件夹的安全问题

[复制链接]

65

主题

853

帖子

3044

积分

论坛元老

Rank: 8Rank: 8

积分
3044
金钱
2184
HASS币
40
发表于 2018-6-19 08:51:22 | 显示全部楼层 |阅读模式
RT:关于www文件夹的安全问题
HA存在一定的安全问题,在www路径下的html是可以被无条件的浏览和共享的,例如你在www下有某一个配置文件记录了你的homekit密码。那么可以直接通过http://ip:port/local/xxxxx.html or xxxxx.js 直接被读取到。不知各位有没有注意过?!!
所以如果放到公网上访问的话还是要谨慎为好!!
回复

使用道具 举报

8

主题

736

帖子

4602

积分

论坛元老

Rank: 8Rank: 8

积分
4602
金钱
3861
HASS币
40
QQ
发表于 2018-6-19 09:30:22 | 显示全部楼层

要知道路径和文件名才行啊,还有谁会没事把HA的域名和端口暴露出来
回复

使用道具 举报

25

主题

687

帖子

3630

积分

论坛元老

Rank: 8Rank: 8

积分
3630
金钱
2937
HASS币
219

活跃会员

发表于 2018-6-19 09:45:11 | 显示全部楼层
验证了一下,确实有这个风险
回复

使用道具 举报

65

主题

853

帖子

3044

积分

论坛元老

Rank: 8Rank: 8

积分
3044
金钱
2184
HASS币
40
 楼主| 发表于 2018-6-19 09:50:54 | 显示全部楼层
Aiden1 发表于 2018-6-19 09:30
要知道路径和文件名才行啊,还有谁会没事把HA的域名和端口暴露出来

这个就算没有主动暴露吗,但在网上随便下载个扫描器就能扫描到的哈。
回复

使用道具 举报

65

主题

853

帖子

3044

积分

论坛元老

Rank: 8Rank: 8

积分
3044
金钱
2184
HASS币
40
 楼主| 发表于 2018-6-19 09:51:57 | 显示全部楼层
aktifin 发表于 2018-6-19 09:45
验证了一下,确实有这个风险

最近在研究攻防和web跨站技术,无意中拿hass验证了一下,发现开源的东西漏洞好多。还是建议大家都放在内网用吧,不是特别需要就别放公网了。。。。。。
回复

使用道具 举报

8

主题

736

帖子

4602

积分

论坛元老

Rank: 8Rank: 8

积分
4602
金钱
3861
HASS币
40
QQ
发表于 2018-6-19 10:25:11 | 显示全部楼层
只是针对www路径吧
回复

使用道具 举报

65

主题

853

帖子

3044

积分

论坛元老

Rank: 8Rank: 8

积分
3044
金钱
2184
HASS币
40
 楼主| 发表于 2018-6-19 10:46:09 | 显示全部楼层
Aiden1 发表于 2018-6-19 10:25
只是针对www路径吧

是的。ha的web服务会暴露www文件夹下的内容,例如之前论坛里面有提到的墨澜地图、云音乐、天气等等,这些需要将配置信息写入到某一个js文件中的都将造成ha的漏洞。
试想想,你的配置信息都写到js中了,并且可以被直接访问到,而无需任何口令的情况下,是不是等于完全暴露了呢
回复

使用道具 举报

8

主题

736

帖子

4602

积分

论坛元老

Rank: 8Rank: 8

积分
4602
金钱
3861
HASS币
40
QQ
发表于 2018-6-19 11:12:00 | 显示全部楼层
plutosherry 发表于 2018-6-19 10:46
是的。ha的web服务会暴露www文件夹下的内容,例如之前论坛里面有提到的墨澜地图、云音乐、天气等等,这些 ...

是的,云音乐就是
回复

使用道具 举报

26

主题

553

帖子

2728

积分

金牌会员

Rank: 6Rank: 6

积分
2728
金钱
2150
HASS币
100

教程狂人

发表于 2018-6-19 14:04:29 | 显示全部楼层
原来有这么多人不知道……
www是彻底暴露在网络上,谁都可以访问的呀,注意就好
回复

使用道具 举报

4

主题

531

帖子

4027

积分

论坛元老

Rank: 8Rank: 8

积分
4027
金钱
3486
HASS币
120
发表于 2018-6-19 14:29:05 | 显示全部楼层
是插件的问题,敏感信息不应该写在前端
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|Hassbian

GMT+8, 2024-12-24 08:35 , Processed in 0.204274 second(s), 33 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表