Секюрность без паролей.

S

Spa_m

Member
Есть регистратор HCVR, прошивка правда от 15 года еще (3.2000004.5). При случае обновлю. На новых еще не пробовал, но думаю будет тоже самое.

В общем по сети надо отдавать одну камеру - создаю пользователя, которому доступен монитор только одной камеры, делаю проброс портов для 554, читаю
vidimost.com

Настройка RTSP-потока для ip-оборудования Dahua Technology

Настройка RTSP-потока для ip-оборудования Dahua Technology
vidimost.com vidimost.com
и

DahuaWiki

dahuawiki.com dahuawiki.com
Создаю ссылку вида
"rtsp://login:password@IPadress:port/cam/realmonitor?channel=16&subtype=1
Все работает, на этом можно было бы и закончить, но пошел дальше.

rtsp://login:password@IPadress:port/cam/realmonitor?channel=15&subtype=1 - спрашивает пароль, ну естественно нет доступа к этой камере у этого пользователя.

Но дальше идут чудеса.
rtsp://login:passrrrword@IPadress:port/cam/realmonitor?channel=16&subtype=1
Добавим в пароль что-то не из него или вообще не его. И... все будет тоже работать.
Иногда спрашивает логин/пароль, но чаще всего подключается.


Но есть еще интереснее.
rtsp://IP:port/cam/realmonitor?channel=16&subtype=0&unicast=true&proto=Onvif

Номер канала может быть любым... и видим все камеры, что есть у нас. И никаких логинов/паролей не надо! Так и должно быть?

Может я что-то пропустил? Как это безобразие прекратить?

Порт конечно нестандартный, но мне это не очень нравится, точнее очень не нравится.

Кто-то может объяснить логику? Может это я что-то не так делаю. Или ссылочку дайте. Спасибо.
 
S

Spa_m

Member
До него далеко добираться, но сегодня-завтра проверю на других двр. Зоопарк большой.
для проверки в локальных просто - ничего пробрасывать не надо.

А решало dahua 'эту проблему? не слышали?
 
S

Spa_m

Member
Взял другой попробовать. Еще DVR.
Обновил сразу прошивку с 2014 (3.200.0001.16) до 2017 (3,200,0001,30)
Пробую. Та же история.

Но мне кажется, что это происходит только тогда, когда я недавно зарегистрировался и смотрел. Если я пробую через какое-то время без пароля - меня спрашивает пароль, но остается возможность просмотреть камеры не только которые разрешены.

Пока тестирую. Обязательно отпишу подробнее.
 
Техпідтримка VidiMost.com

Техпідтримка VidiMost.com

Спеціаліст
Команда форуму
интересуют устройства на прошивке после 2017 года.
Скорее всего таких багов там уже нет.
в 2017 были проблемы с безопасностью...
 
K

Kent

Well-known member
Есть кучка регов, и старых тоже, с которых на сервер по RTSP, потоки забирает. НЕ обнаружил там такого бага, что на новых регах с 4й версией прошивки, что на старых - например DHI-XVR4104C 3.210.0001.3, Build Date: 14-09-2016. С неправильным паролями реги поток НЕ дают!
 
S

Spa_m

Member
Конечно. Видео с XVR (относительно свежий) в личке. После прошивки был сброс, форматирование и настройка ручками с нуля.
 
Техпідтримка VidiMost.com

Техпідтримка VidiMost.com

Спеціаліст
Команда форуму
я в личке ответил, что нужно больше данных отобразить в видео.
Также мне кажется что если закрыть и открыть VLC, то поток уже не откроется.
 
S

Spa_m

Member
Действительно, спрашивает пароль. И еще не пускает в другую камеру. Возможно это связано с тем, что я отключил smartpss (а там был пароль с админскими привилегиями). Тогда глюк не такой уже и страшный.

И вопрос в принципе решен.
Выводы.
  1. После использованиея VLC и тому подобного закрывайте приложение. (Оно видимо где-то что-то еще хранит, или не разрывает до конца соединение)
  2. Если в фоне есть еще одно приложение с соединением к регистратору с админскими правами, то в vlc вы сможете увидеть все камеры и даже без пароля.
 
Останнє редагування:
Ви повинні увійти або зареєструватися, щоб відповісти.
Зверху