Skip to content
PortsDB

Référence des ports

Port 5800 (TCP) – VNC sur HTTP

Service HTTP qui délivre un client VNC dans le navigateur, associé au serveur VNC sur le port 5900.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les serveurs VNC dont le visualiseur web/Java intégré est activé (ex. RealVNC, TightVNC). Souvent exposé aux côtés du 5900 avec une authentification faible ou nulle.

Attaques courantes

  • Connexion à des bureaux sans authentification ou faiblement authentifiés via le navigateur
  • Force brute du court mot de passe VNC atteint via le client web
  • Empreinte des pages web VNC exposées via le scan http-title
  • Écoute clandestine de la session non chiffrée servie derrière la page

Durcissement

  • Désactiver le visualiseur HTTP/web si l'accès navigateur est inutile
  • Ne jamais exposer le 5800 ni le 5900 à Internet — tunneliser via SSH ou VPN
  • Exiger un mot de passe VNC fort et préférer les serveurs compatibles TLS
  • Restreindre les IP sources et ajouter une limitation de débit/verrouillage
  • Garder le serveur VNC à jour contre les failles de contournement d'auth et de RCE

Commande nmap

nmap -p5800 --script http-title,vnc-info <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 5800

Le port 5800 est le port HTTP par défaut utilisé par certains serveurs VNC (RealVNC, TightVNC) pour servir un client VNC dans le navigateur — historiquement une applet Java, plus tard du JavaScript. Un utilisateur pointe un navigateur vers http://host:5800/, charge le visualiseur, qui se connecte au serveur VNC réel sur le 5900. Il existe pour permettre d'utiliser VNC sans installer de client natif.

Pourquoi c'est important pour la sécurité

Le client web n'est qu'une façade pour VNC, il hérite donc de chaque faiblesse de VNC : le plafond hérité de 8 caractères pour le mot de passe, des serveurs déployés sans authentification, et une session RFB non chiffrée. Exposer le 5800 rend ce bureau accessible depuis n'importe quel navigateur sur Internet, abaissant la barrière pour un attaquant qui aurait sinon besoin d'un client VNC. La page elle-même signale aussi la présence de VNC.

Comment c'est attaqué

Les scanners répertorient les ports 5800 ouverts et le script nmap http-title signale la page du visualiseur VNC, indiquant un probable 5900 ouvert à côté. Les attaquants chargent le client web et se connectent aux bureaux sans authentification ou brute-forcent le court mot de passe. La session sous-jacente est non chiffrée, elle peut donc aussi être interceptée en transit.

Liste de durcissement

Si l'accès navigateur est inutile, désactivez entièrement le visualiseur HTTP/web. N'exposez jamais le 5800 ni le 5900 à Internet — tunnelisez via SSH ou un VPN. Exigez un mot de passe VNC fort, préférez les serveurs avec TLS, restreignez les IP sources et ajoutez une limitation de débit/verrouillage. Gardez le serveur VNC à jour contre les failles de contournement d'auth et de RCE, et utilisez la commande nmap ci-dessus pour confirmer l'exposition sur les hôtes que vous êtes autorisé à évaluer.

Ports liés

Port 5900Port 5901Port 3389Port 80

Questions fréquentes

En quoi le 5800 diffère-t-il du 5900 ?
Le 5900 est le port du protocole VNC (RFB) brut. Le 5800 est un port HTTP qui sert un client VNC Java/JavaScript à un navigateur, lequel se connecte ensuite au serveur VNC sur le 5900.
Le client web VNC sur le 5800 est-il sécurisé ?
Pas plus que VNC lui-même. Il met en façade le même schéma de mot de passe faible et la même session non chiffrée, donc un 5800 exposé laisse quiconque atteindre le bureau depuis un navigateur. Tunnelisez-le et exigez une authentification forte.