不少企业把打印扫描设备接入内网后,直接暴露在网关后面,结果某天发现日志里一堆异常POST请求打向/scan/upload接口——其实是黑客在试探漏洞。这类问题不靠杀毒软件,得从网关层卡住。
为什么打印扫描服务特别需要请求过滤?
打印扫描设备的Web管理界面、API上传接口(比如扫描文件直传到OA)、甚至部分支持远程驱动安装的端口,都可能成为攻击入口。攻击者常伪造User-Agent、夹带恶意payload的Content-Type,或反复提交超长文件名触发缓冲区溢出。网关做第一道筛子,比等应用层报错再拦截更省事。
常用过滤点实操示例
以主流NGINX网关为例,在server块里加几行就能起效:
location /scan/ {
# 拒绝非常规User-Agent(如curl、python-requests)
if ($http_user_agent ~* "(curl|wget|python-requests|httpie)") {
return 403;
}
# 限制上传文件名长度,防路径穿越
if ($args ~ "filename=[^&]{100,}") {
return 403;
}
# 只允许常见图片类型上传
if ($http_content_type !~ "^(image/jpeg|image/png|application/pdf)$") {
return 403;
}
}如果是FortiGate或华为USG这类硬件网关,进策略页→选对应打印服务器IP的服务规则→在“HTTP内容过滤”里勾选“阻断含危险参数的URL”,再手动添加关键词:../、%2e%2e%2f、exec(、system(。
别漏掉这个细节:扫描任务回调地址也要验
有些扫描仪支持“扫完自动发邮件”或“推送到指定URL”。如果回调地址写的是内网IP(如http://192.168.1.100/callback),网关得放行;但若回调域名是scan-hack[.]top这种野鸡域名,就得在DNS过滤策略里直接拉黑。实测过有厂商固件会硬编码第三方云服务域名,得提前查清再配白名单。
测试是否生效的小动作
用浏览器开发者工具改个请求头:User-Agent: curl/7.68.0
再往/scan/upload发个空POST,返回403就对了。或者用Postman模拟传个filename=../../../../etc/passwd,看网关日志有没有拦截记录——别等真出事才翻日志。