前言

在使用任何服務不管是網頁服務或是設備提供的服務的設定時，在基本資安的觀念裡登入該服務以後第一件做的安全管理應該要「停用」所用預設的帳戶或是沒有在使用的帳戶，
像是常見的：Admin,root,guest,anonymous…等等，才能避免被蒐集及他可用的資訊。

PS：此測試已經過該設備持有人同意，請勿未經同意嘗試他人設備。

首先這是Buffalo 提供的LinkStation服務登入介面，
我們先嘗試使用預設的帳戶(使用者名稱:guest 密碼:無)

可以發現這個設備使用者沒有把預設guest帳戶停用，但看到這張圖發現好像也沒有其他功能可以使用。

我們嘗試把網頁的source code打開來看看，發現連結按鈕，似乎都是用JS的發是去呼叫…

接著就是去翻這網頁所有的JS，有關onClick_user_only的方法,發現在root.js裡，
之後就是熟讀root.js裡面有做了哪些事情，過程就不贅述了。

熟讀完後發現有個方法show_0()是開啟所有的menuButton，
因此來開啟Chrome的Console執行看看，結果所有的功能以及使用這帳戶都一目瞭然。

並且所有功能都可以使用無權限問題，包括新增使用者，修改資料夾讀取權限等，
因此在這台NAS裡的所有資料都是可以讀取了。

解決方法：停用guest帳戶。

結論

今天筆者撰寫此篇的目的主要還是要提醒大家，請記的在用任何設備服務時一定要記得停用預設或沒在使用的帳戶。

如有錯誤還請各位先進前輩們不吝嗇的指教，謝謝。