不久前，中央电视台曝光了大量密码较弱的摄像机。黑客入侵后，信息被出售。为了了解弱密码相机的危害性，我们打算重现它。 确认可行 首先，根据在线信息，我们选择了旧版本的IP网络摄像头，得知其默认帐号为admin，密码为12345，因此我们找到了一个zoomeye设备搜索平台，搜索以下结果: 点击进入其中一个链接，发现它是网络摄像头的登录界面，果断尝试admin和12345，但发现密码不正确。 放弃这个项目，我们继续寻找，终于找到了一个可以用初始密码登录的IP，下载相应的插件，打开，你就可以查看相机屏幕了。 脚本扫描 既然已确认此解决方案的可行性，我们可以使用该脚本进行批量扫描。所以我们写了这个脚本。 实现此目标有两个步骤：1。获取IP，并验证是否存在弱密码。 第一步，我们可以通过zoomeye提供的api获取设备的大量ip地址，然后在本地保存这些ips。然后，通过逐个访问IP列表并提交帐户密码，通过返回值判断ip camera是否实际上具有弱密码。 使用简单的脚本运行测试。 我很快发现了几个密码较弱的相机，登录验证，我可以直接查看内容。 此时，已经确认IP摄像机的弱密码确实非常严重，并且实验部分在此结束。 改善措施 由于以下几点，相机设备安装在家中： 1.确保更改默认密码并设置更强的密码。 2.将设备驱动程序更新升级到最新驱动程序，更换旧型号设备，并尝试使用大型制造商的相机设备。 3.如果不是特殊需要，永远不要将相机转到公网ip或直接使用公网ip访问，只能把它放在内部网络环境中，安全性会更高。 结论 为了物联网的安全，我们应该高度重视。在研究中，我们发现弱密码只是一种威胁。更多种类的摄像机可以通过简单的命令直接获得shell权限，不仅对于摄像机内容，而且对于整个内部网都是一个严重的隐患。 在物联网安全中，存在“攻击和防御”问题，即攻击者的不对称性以及防御者的信息和时间。防御者花费很短的时间来制造产品，可能需要在未来几年内防范攻击者的长期攻击。时间研究破解;防御者为客户设计的每项服务和功能都可能被攻击者深入研究作为突破。像这种相机这样的弱密码问题也是由时差引起的安全风险。这是因为制造商不希望大量用户使用默认密码并且没有采取预防措施来强制更改密码。 今天的物联网就像互联网的开端。大量的新人涌现出来，大量的应用程序出现在人们面前。连接到互联网的智能家居和智能交通等新技术也将受到来自互联网的更复杂的扫描和攻击。那就是“进攻与防守”。因此，利用现有的互联网安全技术快速实施物联网保护防御措施，将网络安全扩展到网络空间安全至关重要。 最后，每个人都不应该轻易尝试入侵等非法活动，以及以下科学中的一些相关法律知识。 以下内容摘自《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条: 以下内容摘自《中华人民共和国刑法》第253条： *作者：网络安全通过 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代码，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。