對于站長而言，大多數(shù)都是會傾向于選擇租用海外服務(wù)器，不見在租賃費用上性價比高，而且免除了備案等注冊流程。雖然海外服務(wù)器具有一定的優(yōu)勢，但是在防護性上同樣是值得人們擔憂的。尤其是在遠程連接海外服務(wù)器的過程，向日葵指出，許多站長都是在連接海外服務(wù)器接口上，遇到過異常，那么下面就來說說海外服務(wù)器的IPMI接口漏洞的分析。

?

根據(jù)向日葵漏洞小課堂調(diào)查顯示，海外服務(wù)器的IPMI接口，是較為常見黑客利用的攻擊渠道。因為在海外服務(wù)器自身管理端口當中，是含有NULL認證設(shè)置選項的，而恰好這一點就成為了漏洞，因為用戶賬戶登錄的時候，這個流程是無需驗證的。

?

?

?

因此，大多數(shù)海外服務(wù)器，在連接節(jié)點當中有啟動NULL是用戶，打個比方，當企業(yè)網(wǎng)站服務(wù)器在協(xié)同工作進程中，任何人都是可以登錄到舊版的IPMI接口系統(tǒng)中來的，而且關(guān)鍵在于不需要賬號登錄以及驗證密碼，向日葵漏洞小課堂表示這一點漏洞被許多黑客所利用。

?

而遇到這一漏洞問題，向日葵指出，這主要是海外服務(wù)器供應(yīng)商選擇的原因。市面上大多數(shù)海外服務(wù)器租賃的供應(yīng)商，都只是授權(quán)給用戶管理權(quán)限，因此在整個過程中，方便站長使用，不需要相關(guān)指令以及用戶，這就導(dǎo)致了整個IPMI接口流程存在較大的漏洞。

?

海外服務(wù)器節(jié)點連接到互聯(lián)網(wǎng)正在運行的IPMI接口中，有90%以上都是需要認證的，因此向日葵認為，想要讓IPMI接口更加防護，則是需要選擇能夠提供防護服務(wù)的海外服務(wù)器供應(yīng)商。

?

雖然如今新版本的IPMI具有加密保護，并且提供了16位數(shù)的密碼組合，但是向日葵指出，新版本的IPMI同樣存在漏洞。

?

例如在加密保護的選項當中，只需要通過密碼組合，缺少身份驗證，這一點就讓加密保護缺乏了完整性以及多重防護作用。對此向日葵指出，用戶賬號在登錄流程上，應(yīng)該要增加驗證身份，反而進行身份驗證更加有效，同時也避免了多此一舉的密碼驗證。

?

據(jù)向日葵漏洞防護調(diào)研發(fā)現(xiàn)，常見的海外服務(wù)器對BMC密碼默認為0啟動，因此市面上IPMI版本中，有許多運行公開訪問的海外服務(wù)器節(jié)點有著漏洞，這也是許多站長需要注意的信息。