对SRS媒体服务器进行漏洞扫描时,SRS的API模块会出现漏洞,如何修补这些漏洞的简单方法

news2024/12/23 12:04:06

目录

一、引言

1、srs介绍

2、媒体流介绍

3、应用场景

二、SRS的http_api介绍、及漏洞

1、概述

2、http_api模块的作用

(1)提供HTTP API服务

(2)管理和监控SRS服务器

(3)自定义开发

三、漏洞扫描出现信息泄露的问题

1、概述

2、漏洞扫描结果

(1)漏洞说明

(2)漏洞截图

A、网站存在api接口泄露

B、网站存在该服务器接口处api泄露

3、泄露的信息

四、解决方式

1、解决方法

2、身份验证的解决方式

五、解决结果


一、引言

1、srs介绍

        srs(Simple Real-Time Media Server),即简单实时媒体服务器,是一个开源的流媒体服务器软件,旨在提供高效、稳定的实时音视频服务。

        它支持多种流媒体协议,包括RTMP、HLS、HTTP-FLV以及WebRTC等,能够广泛应用于多个领域。

2、媒体流介绍

        RTMP(Real-Time Messaging Protocol):用于实时数据传输,支持音视频流的推送和播放,可无缝对接Adobe Flash Player和大部分直播推流软件。

        HLS(HTTP Live Streaming):兼容iOS设备和现代浏览器,无需插件或Flash。

        WebRTC:支持低延迟、高质量的浏览器间音视频通信。

        HTTP-FLV是一种流媒体传输协议,它将音视频数据封装成FLV(Flash Video)格式,并通过HTTP(HyperText Transfer Protocol)协议传输给客户端。

3、应用场景

         Srs可以应用在如下一些场景:

        (1)在线教育:支持大规模在线课程直播,保证教学质量和稳定性。

        (2)新闻直播:快速响应新闻事件,实现实时转播。

        (3)电竞赛事:低延迟传输,确保观众不错过任何精彩瞬间。

        (4)企业协作:提供高效的远程办公解决方案,包括视频会议和屏幕共享功能。

        (5)社交媒体:整合到社交应用中,让用户可以轻松分享即时动态。

二、SRS的http_api介绍、及漏洞

1、概述

        srs.conf 是srs流媒体服务器的一个核心配置文件,它包含了服务器运行所需的各种配置信息。是一个纯文本文件,使用类似JSON或nginx的配置文件格式,支持嵌套和注释。文件内容包含了多个配置项,每个配置项用于设置服务器的一个或多个参数。

2、http_api模块的作用

(1)提供HTTP API服务

        服务访问是通过该端口,外部系统或客户端可以发送HTTP请求到SRS服务器,从而访问SRS提供的各种API接口。这些接口通常用于查询服务器状态、管理视频流(如获取流列表、踢流等)、配置服务器参数等。

(2)管理和监控SRS服务器

  1.         状态监控:通过HTTP API,可以实时获取SRS服务器的运行状态信息,如CPU使用率、内存占用、网络连接情况等。这对于服务器的性能监控和故障排查非常有用。
  2.         流管理:管理员可以通过HTTP API对SRS服务器上的视频流进行管理,包括查询流信息、踢除非法流、修改流配置等。

(3)自定义开发

        API扩展是基于SRS提供的HTTP API接口,开发者可以自定义开发各种应用,如流媒体管理平台、视频直播系统等。这些应用可以通过HTTP请求与SRS服务器进行交互,实现复杂的功能。

三、漏洞扫描出现信息泄露的问题

1、概述

        在一般情况下,用于监听http_api模块的端口可以直接通过http的方式被访问,有可能会造成服务器信息泄露,可能会被非法人员通过针对性的手段进行攻击。

2、漏洞扫描结果

        如下图,为一个典型的漏洞扫描报告的部分。

(1)漏洞说明

(2)漏洞截图

A、网站存在api接口泄露

        相关的漏洞截图如下:

(通过上图我们可以看到网站存在api接口泄露)

   

B、网站存在该服务器接口处api泄露

通过上图可以看到网站存在该服务器接口处api泄露

3、泄露的信息

访问API的http接口时,在网页出现泄露的信息,如下图所示:

四、解决方式

1、解决方法

要解决api接口直接被http访问的问题,有多种方法,列举如下:

(1)使用安全的身份验证方式,如基于令牌(Token)的认证,OAuth等。

(2)实施适当的访问控制策略,确保只有经过授权的用户才能访问API接口。

(3)对所有的输入数据进行有效的验证和过滤,确保输入符合预期的格式和内容。

(4)使用白名单、正则表达式等机制,对输入数据进行有效的过滤,防止恶意输入导致的安全问题,如SQL注入、XSS等。

(5)在存储时对敏感数据进行加密处理,以防止数据泄露。

(6)对API接口进行定期的安全审计和漏洞扫描,及时发现和修复潜在的安全问题。

(7)注意及时更新和升级相关的组件和库,以修复已知的安全漏洞。

(8)禁止api目录下接口其他信息泄露。

2、身份验证的解决方式

        在http_api模块中,有一个名为Authentication的选项,可以开启对http_api的鉴权,详细配置如下:        

http_api {

    enabled on;
    listen xxxx;

    …… ……

    auth {
        enabled on;
        username admin;
        password admin;

    }

}

        上述配置中,我们开启了auth的功能,并为访问api接口设置了用户名和密码。

        这样一来,访问这个api接口页面需要通过用户名密码的认证,大大降低了被针对攻击的概率。

        在企业进行漏洞扫描时,扫描到相关端口的访问需要认证,也可以增加服务器的安全性。

五、解决结果

        配置生效后,通过浏览器访问该服务器的API接口页面,如下图所示:

        可以看出,需要输入正确的用户名和密码才可以访问相关页面,漏洞被消除了。问题得到解决!


若想了解更多,文章正下方可以看到我的联系方式:鼠标“点击” 下面的 “威迪斯特-就是video system 微信名片”字样,就会出现我的二维码,欢迎沟通探讨


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1898898.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Java语言+后端+前端Vue,ElementUI 数字化产科管理平台 产科电子病历系统源码

Java语言后端前端Vue,ElementUI 数字化产科管理平台 产科电子病历系统源码 Java开发的数字化产科管理系统,已在多家医院实施,支持直接部署。系统涵盖孕产全程,包括门诊、住院、统计和移动服务,整合高危管理、智能提醒、档案追踪等…

【T+】畅捷通T+产品,将原财务报表中的模板转换到财务报表菜单下。

【问题描述】 畅捷通T3产品中账套使用行业性质是【新会计准测制度】升级到畅捷通T产品, 行业性质默认为【2001年企业会计制度】, 但是升级成功后,账套的财务报表下没有对应报表模板,需要手工编辑,太费劲了。 并且在T产…

mysql 字符集(character set)和排序规则(collation)

文章目录 概念1、字符集1.1、举例1.2、常见字符集 utf8 和 utf8mb4 区别1.3、字符集 使用 2、排序规则2.1、举例2.2、常见的排序规则 utf8mb4_bin 、utf8mb4_general_ci、utf8mb4_unicode_ci2.3、使用 概念 在 MySQL 中,字符集(character set&#xff0…

STM32基础知识

一.STM32概述 第一款STM32单片机发布的时间为2007年6月11日。由意法半导体(ST)公司推出,是STM32系列中的首款产品,具体型号为STM32F1,它是一款基于Cortex-M内核的32位微控制器(MCU)。 STM32F1…

广东这家非标自动化公司居然2台工作站20个设计同时用?

在当今快速发展的制造业中,非标自动化公司凭借其独特的定制化服务,正在逐步改变着传统的生产方式。在日益复杂和高度专业化的非标自动化设计领域,图形工作站的重要性不言而喻。设计师们需要强大的计算能力和高效的运行环境来支持他们的创意工…

短视频文案提取神器怎么提取抖音视频文案!

很多编导以及视频内容创作者为了提高自己的工作效率还会使用视频转文字提取神器,我们都清楚短视频领域每个平台人群熟悉都有所不同,在分发内容的时候也会调整内容已符合平台属性。 短视频文案提取神器怎么提取抖音视频文案 短视频常见的平台有抖音、西瓜…

分享超级实用的3款AI工具,让工作效率轻松翻倍

Hey,职场小伙伴们!每天被堆积如山的工作压得喘不过气?加班成了日常,效率却不见提高?别急,今天就让我来给你们揭秘3款AI神器,它们将是你职场上的得力助手,让你的工作效率轻松翻倍&…

Web3 ETF的主要功能

Web3 ETF的主要功能可以概括为以下几点,Web3 ETF仍是一项新兴投资产品,其长期表现仍存在不确定性。投资者在投资Web3 ETF之前应仔细研究相关风险,并做好充分的风险评估。北京木奇移动技术有限公司,专业的软件外包开发公司&#xf…

4-google::protobuf命名空间下常用的C++ API----text_format.h

#include <google/protobuf/text_format.h> namespace google::protobuf 用于以人类可读的基于文本的格式打印和解析协议消息的工具类。 TextFormat类 这个类实现协议缓冲文本格式。 以文本格式打印和解析协议消息对于调试和人工编辑消息非常有用。 这个类实际上是一个只…

跟《经济学人》学英文:2024年06月01日这期 The side-effects of the TikTok tussle

The side-effects of the TikTok tussle tussle&#xff1a;美 [ˈtəsəl] 激烈扭打&#xff1b;争夺 注意发音 side-effects&#xff1a;副作用&#xff1b;&#xff08;side-effect的复数&#xff09; As the app’s future hangs in the balance, the ramifications of …

【车载开发系列】PWM与占空比

【车载开发系列】PWM与占空比 一. 基本概念 1&#xff09;PWM PWM全称Pulse Width Modulation&#xff1a;脉冲宽度调制&#xff08;简称脉宽调制&#xff0c;通俗的讲就是调节脉冲的宽度&#xff09;&#xff0c;是电子电力应用中非常重要的一种控制技术。 脉冲宽度调制&am…

【邀请函】相约CommunityOverCode Asia 2024,共探Flink、Paimon、Celeborn开源新境界!

CommunityOverCode是由Apache软件基金会&#xff08;ASF&#xff09;主办的一系列全球性会议&#xff0c;旨在促进开源技术的发展和社区参与。自1998年以来&#xff0c;ApacheCon一直是这一系列活动的核心&#xff0c;吸引了不同背景和技术层级的参与者&#xff0c;关注于“明天…

【启明智显分享】乐鑫HMI方案2.8寸触摸串口屏应用于太阳能控制器

前言 太阳能作为一种无尽的、可再生的能源&#xff0c;在现代社会的能源结构中占据着日益重要的地位。而在太阳能应用系统中&#xff0c;有一种设备是不可或缺的&#xff0c;那就是太阳能控制器。太阳能控制器在太阳能系统中起着至关重要的作用&#xff0c;它保证系统的安全和…

大型语言模型评估调查

原文链接&#xff1a;A Survey on Evaluation of Large Language Models | ACM Transactions on Intelligent Systems and Technology 本文从三个关键维度&#xff1a;评价什么、在哪里评价和如何评价&#xff0c;对这些 LLMs 评价方法进行了全面回顾。 首先&#xff0c;我们…

zigbee笔记:六、看门狗定时器(Watch Dog)

一、看门狗基础 1、看门狗功能&#xff1a; 由于单片机的工作常常会受到来自外界电磁场的干扰&#xff0c;造成各种寄存器和内存的数据混乱&#xff0c;会导致程序指针错误等&#xff0c;程序运行可能会陷入死循环。程序的正常运行被打断&#xff0c;由单片机控制的系统无法继…

Java springboot校园管理系统源码

Java springboot校园管理系统源码-014 下载地址&#xff1a;https://download.csdn.net/download/xiaohua1992/89364089 技术栈 运行环境&#xff1a;jdk8 tomcat9 mysql5.7 windows10 服务端技术&#xff1a;Spring Boot Mybatis VUE 使用说明 1.使用Navicati或者其它工…

相关技术 检测离型纸

网盘 https://pan.baidu.com/s/1W-k4hl9uhjAG98hqJG11ug?pwdcrpn 离型无纺布.pdf 离型纸剥离机构.pdf 离型纸处理装置及贴胶设备.pdf 离型纸收集机构.pdf 离型纸涂布装置.pdf 防伪印刷离型纸的制造工艺.pdf

14.【C语言】初识操作符 上

1.分类 01算术操作符 - * / % 即四则运算和% 注意&#xff1a; /介绍 #define _CRT_SECURE_NO_WARNINGS 1 #include <stdio.h> int main() {float a 9 / 2;printf("%f\n", a);printf("%f\n", 9 / 2.0); } 结果不同 9/24……1 9/2.04.5&…

servlet职称评审系统-计算机毕业设计源码00122

目录 摘要 1 绪论 1.1 选题背景与意义 1.2国内外研究现状 1.3论文结构与章节安排 2系统分析 2.1 可行性分析 2.2 系统流程分析 2.2.1系统开发流程 2.2.2 用户登录流程 2.2.3 系统操作流程 2.2.4 添加信息流程 2.2.5 修改信息流程 2.2.6 删除信息流程 2.3 系统功能…

智能光伏开发都能用到什么软件和工具?

随着全球对可再生能源的日益重视和光伏技术的快速发展&#xff0c;智能光伏开发已成为推动能源转型的重要力量。在光伏项目的全生命周期中&#xff0c;从设计、建设到运营管理&#xff0c;各种软件和工具的应用发挥着至关重要的作用。 一、光伏系统设计软件 1、PVsyst PVsyst…