美國賓夕法尼亞州Pottstown市一家金融公司的安全經(jīng)理阿龍－韋弗（Aaron Weaver）發(fā)現(xiàn)一種從網(wǎng)絡(luò)向打印機發(fā)送垃圾信息的方法。韋弗使用大多數(shù)瀏覽器中一種鮮為人知的功能讓網(wǎng)頁指揮受害人網(wǎng)絡(luò)上的任何打印機工作。這個網(wǎng)站可以讓打印機打印攻擊者指定的廣告，而且從理論上說，網(wǎng)站還能夠發(fā)送更危險的指令，如告訴打印機發(fā)送一個傳真，格式化硬盤或者下載新的固件。

　　韋弗本周二在Ha。ckers。org網(wǎng)站上發(fā)表一篇研究論文說，這種攻擊稱作“跨站打印”。要使跨站打印攻擊發(fā)揮作用，受害者必須要訪問一個惡意網(wǎng)站或者訪問一個有跨站腳本攻擊安全漏洞的合法網(wǎng)站。跨站腳本攻擊安全漏洞在網(wǎng)絡(luò)編程中是一種常見的錯誤。黑客會向用戶瀏覽器發(fā)送JavaScript代碼，猜測受害者打印機的位置并且發(fā)送指令讓打印機工作。

　　韋弗使用IE瀏覽器和火狐瀏覽器成功地實施了攻擊。這種攻擊僅在網(wǎng)絡(luò)打印機上有效，直接連接到PC的打印機不會受到這種攻擊。

　　由于大多數(shù)瀏覽器都能夠連接到多數(shù)打印機使用的端口查找新的打印工作，這種攻擊是可能的。因此，攻擊者能夠使用瀏覽器作為跳板連接到局域網(wǎng)的打印機。這是攻擊者從來沒有達到的地方。

　　雖然以前沒有人展示過這種獨特的攻擊手段，但是，韋弗的研究是以網(wǎng)絡(luò)安全研究人員都熟悉的兩個概念為基礎(chǔ)的：跨站腳本攻擊和瀏覽器處理互聯(lián)網(wǎng)協(xié)議方法中的安全漏洞。網(wǎng)絡(luò)安全咨詢公司SecTheory的首席執(zhí)行官和Ha。ckers。org網(wǎng)站的所有者羅伯特－漢森（Robert Hansen）說，這種攻擊是沒有先例的。但是，他所做的事情是把我們談?wù)摵荛L時間的兩種概念結(jié)合在一起了。

　　研究人員已經(jīng)顯示了如何把瀏覽器作為連接到電子郵件或者VoIP服務(wù)器的網(wǎng)關(guān)。他們認為，由于瀏覽器具有連接到互聯(lián)網(wǎng)和局域網(wǎng)的功能，瀏覽器將成為網(wǎng)絡(luò)攻擊的重要來源。漢森說，瀏覽器中還會發(fā)現(xiàn)更多的安全漏洞。

　　韋弗表示，他擔心他的研究結(jié)果可能會導(dǎo)致對互聯(lián)網(wǎng)發(fā)動的新的攻擊。這是他推遲發(fā)表論文和沒有發(fā)布全部利用安全漏洞的代碼的原因。

　　跨站打印機垃圾信息會不會很快在網(wǎng)絡(luò)上出現(xiàn)呢？韋弗認為這種事情很可能會發(fā)生。他說，垃圾信息制造者什么手段都會嘗試。