Дырка безопасности AJAX в роутерах Trendnet

0

0

Зайдя на свой роутер ( у меня TEW-632BRP ) можно буз логина и пароля смотреть некоторые данные. Например в адресной строке вбить: http://АДРЕС_РОУТЕРА/device.xml=device_status

Суть проблемы в том что информация на страницах конфигурации обновляется через AJAX. Но сами AJAX-скрипты не защищены сессией! Поэтому можно смотреть некоторые параметры роутера даже из интернета не зная ни логина ни пароля.

http://www.trendnet.ru/forum/messages/forum3/topic2271/message13009/?result=n...

Ссылка

←

FOSDEM

[вещества][глюки]

→

проприетарное УГ

rsync ★★
(05.02.10 12:18:19 MSK)

Ссылка

м... «порадую» кое-кого вечером значит)

Sylvia ★★★★★
(05.02.10 12:19:29 MSK)

Ссылка

оформи поаккуратнее и в новости

~~seed_stil~~ ★★
(05.02.10 12:36:14 MSK)

Ссылка

не зря стрим фильтрует входящий 80й порт

Reset ★★★★★
(05.02.10 12:54:47 MSK)

Ответ на: комментарий от Reset 05.02.10 12:54:47 MSK

он не поэтому фильтрует, а потому что полно тех, кто пароли не ставит на роутеры вообще

Sylvia ★★★★★
(05.02.10 13:02:29 MSK)

Ссылка

Кво вывешивает вебморду в инет - ССЗБ

DNA_Seq ★★☆☆☆
(05.02.10 13:46:24 MSK)

Ответ на: комментарий от Reset 05.02.10 12:54:47 MSK

Фильтрование портов - признак анального порабощения

DNA_Seq ★★☆☆☆
(05.02.10 13:47:20 MSK)

Ссылка

Бугага, у меня 80-й порт проброшен внутрь локалки на файлопомойку, так что достать веб-интерфейс можно только изнутри.

AITap ★★★★★
(05.02.10 14:19:14 MSK)

Ссылка

дешОвое поделие, нужно брать ASUS.

Lee_Noox ★★★
(05.02.10 17:43:19 MSK)

Ссылка

Ответ на: комментарий от DNA_Seq 05.02.10 13:46:24 MSK

>Кто вывешивает вебморду в инет - ССЗБ

На самом деле в обычном режиме для юзера она и не нужна, но мне нужен был доступ ибо у меня сервер за ним стоит (скоро кстати доустановлю на него все и выброшу роутер нафиг) и приходиться иногда порты там пробрасывать и т.д.

Да и просто закрыть не выход ... ими же организации тоже пользуется, а там людей много и все в локалке.

rshadow
(05.02.10 21:36:06 MSK) автор топика

Осильте уже альтернативные прошивки. И да, вебморда не нужна.

Deleted
(05.02.10 22:11:35 MSK)

Ссылка

Ответ на: комментарий от rshadow 05.02.10 21:36:06 MSK

Проблема в том что допустим у асусовских роутеров веб-морда торчит наружу по дефолту. Тем, кому доступ такой действительно нужен сами в состоянии открыть его.

DNA_Seq ★★☆☆☆
(06.02.10 15:52:41 MSK)

Ответ на: комментарий от DNA_Seq 06.02.10 15:52:41 MSK

> Проблема в том что допустим у асусовских роутеров веб-морда торчит наружу по дефолту.

да ну? из 3-х асусовских роутеров что через меня прошли (wl500gp v1 && v2, n11) - наружу (в wan) ни у кого не торчало.

isden ★★★★★
(06.02.10 16:04:27 MSK)

Ответ на: комментарий от isden 06.02.10 16:04:27 MSK

погугли, проблема реальная

DNA_Seq ★★☆☆☆
(06.02.10 16:38:00 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←

FOSDEM

Talks

[вещества][глюки]

→

Похожие темы