Комментарии 56
При чем тут уязвимость и ситуация, в которой владелец роутера не сменил стандартный пароль?
При том, что для подобных случаев админку роутера закрывают для wan. А отправка команд get запросами — и есть уязвимость.
а причем тут wan? ваш броузер выполняет этот запрос вполне через lan интерфейс.
а get запросы по моему стандартная практика на всех роутерах.
а get запросы по моему стандартная практика на всех роутерах.
Парочкой запросов по lan можно открыть роутер для wan, я об этом написал, между прочим.
запросами по lan можно что угодно сделать, для этого и придумали смену пароля при первой настройке.
В нормальных роутерах GET не найдёшь, только POST.
А нормальные это какие?
Надеюсь вы не про решения уровня предприятия?
Цены разные и задачи.
Надеюсь вы не про решения уровня предприятия?
Цены разные и задачи.
Нормальные — соответствующие HTTP RFC.
Речь об этом и идёт. В конкретном роутере есть конкретная уязвимость. А мне говорят, что это не беда и все так делают.
Я как раз на оборот хотел бы посмотреть на ту железку которая так не делает. Хочу проникнуться симпатией к тому производителю. То что так делают многие это не оправдание.
Проверил дома на Asus и на Linksys. Оба работают с GET.
gribozavr спасибо за напоминание о RFC. С RFC я знаком, а вот с SOHO устройством которое его бы соблюдала в WEB интерфейсе нет.
Хотя вру мой Juniper-NS5GT с прошивкой 6.2.0r11.0 использует POST.
Проверил дома на Asus и на Linksys. Оба работают с GET.
gribozavr спасибо за напоминание о RFC. С RFC я знаком, а вот с SOHO устройством которое его бы соблюдала в WEB интерфейсе нет.
Хотя вру мой Juniper-NS5GT с прошивкой 6.2.0r11.0 использует POST.
вообще-то в нормальных роутерах нет управления по http, только по ssh
Ну так закрывайте — все там настраивается. У самого WR841N со стандартной прошивкой — средств настройки для дома хватает, в том числе и настроек безопасности
Автор топика хочет обратить внимание, что пользователи часто не меняют дефолтный пароль, т.к. думают что защищены тем, что админка недоступна извне сети.
Это конечно же не «уязвимость роутера», прото про это нужно помнить.
Это конечно же не «уязвимость роутера», прото про это нужно помнить.
Дожились. Теперь уязвимостями называют дефолтные пароли…
Повторюсь: уязвимость здесь не дефолтный пароль, а способ преодолеть закрытие админки для wan.
я вам выше ответил — wan тут вообще не играет. всё реквесты проходят через lan, который и должен быть открыт для вас, иначе как роутер конфигурить?
бувают исключения когда не пускает в вебморду через wifi. такое вроде у d-link'ов было. но тут я не уверен
бувают исключения когда не пускает в вебморду через wifi. такое вроде у d-link'ов было. но тут я не уверен
Расшифровываю.
Злоумышленник подготавливает код и постит его на странице, на которую зайдёт жертва с компьютера за роутером. У жертвы закрыта админка для wan. Жертва открывает в браузере картинку, URL которой меняет настройку безопасности в его роутере и сообщает пингом IP жертвы. Злумышленник через wan командует роутером, в котором был закрыт доступ к админке через wan. Вы по-прежнему не считаете это уязвимостью?
Злоумышленник подготавливает код и постит его на странице, на которую зайдёт жертва с компьютера за роутером. У жертвы закрыта админка для wan. Жертва открывает в браузере картинку, URL которой меняет настройку безопасности в его роутере и сообщает пингом IP жертвы. Злумышленник через wan командует роутером, в котором был закрыт доступ к админке через wan. Вы по-прежнему не считаете это уязвимостью?
Уязвимость — не открытая дверь в квартиру, а то, что войдя в нее, можно открыть окно, чтобы в него можно было залезть снаружи.
Исправляю Вашу аналогию с дверью. Дверь закрыта, но в замочной скважине изнутри торчит ключ. Вы подсовываете бумажку под дверь и проволокой выталкиваете ключ на бумажку, достаёте его, открываете дверь. А всё от того, что под дверью есть щель. А дефолтные настройки — ключ в замочной скважине изнутри.
В чем-то вы правы.
Впрочем, аналогии лишь помогают объяснить свою точку зрения, а не доказать ее. «Мне кажется, что, что бы Вы ни сказали о поэзии, я смогу найти способ провести аналогию с любым предметом точно также, как я сейчас сделал это для теоретической физики. Я не думаю, что эти аналогии имеют смысл.» (Р. Фейнман)
Использование GET (а не POST) для запроса каких-либо действий действительно является грубой ошибкой, которая ведет за собой всяческие уязвимости. Даже при наличии нестандартного пароля есть возможность его подобрать, сгенерировав большое число запросов с разным паролем. Более того, POST-запросы тоже небезопасны, так что стоит использовать CSRF для защиты. У производителей роутера есть все возможности для организации безопасной авторизации, и они их полностью проигнорировали, оставив http auth и get-запросы.
Однако изменение пароля является очевидным шагом при настройке роутера, наверняка он упомянут и в инструкции. В вашем конкретном случае пользователь — ССЗБ. Было бы интересно проверить, можно ли с помощью скрытых GET-запросов подобрать нестандартный пароль.
Остается добавить, что некоторые браузеры запрещают подобные запросы с внешних сайтов к локальным айпишникам. Не могу сказать, какие именно, но в опере такое поведение я встречал.
Впрочем, аналогии лишь помогают объяснить свою точку зрения, а не доказать ее. «Мне кажется, что, что бы Вы ни сказали о поэзии, я смогу найти способ провести аналогию с любым предметом точно также, как я сейчас сделал это для теоретической физики. Я не думаю, что эти аналогии имеют смысл.» (Р. Фейнман)
Использование GET (а не POST) для запроса каких-либо действий действительно является грубой ошибкой, которая ведет за собой всяческие уязвимости. Даже при наличии нестандартного пароля есть возможность его подобрать, сгенерировав большое число запросов с разным паролем. Более того, POST-запросы тоже небезопасны, так что стоит использовать CSRF для защиты. У производителей роутера есть все возможности для организации безопасной авторизации, и они их полностью проигнорировали, оставив http auth и get-запросы.
Однако изменение пароля является очевидным шагом при настройке роутера, наверняка он упомянут и в инструкции. В вашем конкретном случае пользователь — ССЗБ. Было бы интересно проверить, можно ли с помощью скрытых GET-запросов подобрать нестандартный пароль.
Остается добавить, что некоторые браузеры запрещают подобные запросы с внешних сайтов к локальным айпишникам. Не могу сказать, какие именно, но в опере такое поведение я встречал.
своим постом вы заставили сменить дефолтный пароль, наверное, минимум
несколько десятков, а то и сотен человек. поздравляю, день прожит не зря!
кроме шуток и без сарказма =)
несколько десятков, а то и сотен человек. поздравляю, день прожит не зря!
кроме шуток и без сарказма =)
Уязвимость беспроводных роутеров TP-LINK
Думаю, стоит изменить заголовок. Описанный механизм уязвимости не является уникальным именно для роутеров TP-LINK. У роутеров других производителей тоже есть web-интерфейс, который тоже управляется GET-запросами. Также для описанной атаки не имеет значения, что роутер именно беспроводной.
Вообще приличный браузер (например ие) не даст загрузить ссылку по урлу из другой зоны (а это считается интранетом по умолчанию)
Это вы про IE? :)
Отправилось недопечатаное.
И действительно, не даёт. Плюс в сторону IE, жалко что минусов безопасности всё равно больше.
И действительно, не даёт. Плюс в сторону IE, жалко что минусов безопасности всё равно больше.
Можно подробнее про минусы безопасности IE?)
active-x — это не достаточно могучая технология? Или нужно что-то ещё более революционное? О, я придумал — example.com/autorun.ini — как же МС не додумалась?
Ответ, достойный профессиональной дискуссии.
По сути будет чего?
По сути будет чего?
Ясно, уровень понял. Спасибо за ссылку )
Ожидал ссылок такого уровня technet.microsoft.com/en-us/security/bulletin/MS11-057
Ожидал ссылок такого уровня technet.microsoft.com/en-us/security/bulletin/MS11-057
Хм. Вы хотите сказать, что без ссылка без указания логина и пароля по HTTP Basic не сработает? Ха.
Как минимум нужно менять ещё и адрес. Хотя особых проблем сделать 60k+ картинок, чтобы обращаться ко всем возможным адресам, тоже нет. К данному посту подошёл бы тэг CSRF.
Ситуация печальна, казалось бы уж кто кто, а писатели прошивок для WiFi роутеров могли бы почитать спецификацию HTTP.
Как минимум нужно менять ещё и адрес. Хотя особых проблем сделать 60k+ картинок, чтобы обращаться ко всем возможным адресам, тоже нет. К данному посту подошёл бы тэг CSRF.
Ситуация печальна, казалось бы уж кто кто, а писатели прошивок для WiFi роутеров могли бы почитать спецификацию HTTP.
У асусов, похоже, такая же проблема (по крайней мере на моём 520gc)
Я правильно понимаю что с помощью JavaScript можно вполне себе делать и POST запросы? И тогда это «уязвимость» всех роутеров: вы, загружая страницу, даёте злоумышленнику доступ к админке.
Не совсем правильно. А теперь внезапно en.wikipedia.org/wiki/CSRF
А загрузка картинки — обычный GET, который множно сделать и из этого комментария.
А загрузка картинки — обычный GET, который множно сделать и из этого комментария.
Чистая, незамутненная антиреклама — заголовок очевидным образом не соответсвует содержанию.
Он с некоторой вероятностью, отличной от единичной будет не соответствовать содержанию, если Вы не читали текст после хабраката.
А поскольку текст после хабраката я читал, то, простите, ни о каких вероятностях речь не идет.
Феномен известный и массовый, но
1. Де-юре относится, мягко говоря, не только к беспроводным моделям TP-Link.
2. Де-факто описывает уязвимость, создаваемую пользователем — оставлять пароль по умолчанию небезопасно в любом случае.
Феномен известный и массовый, но
1. Де-юре относится, мягко говоря, не только к беспроводным моделям TP-Link.
2. Де-факто описывает уязвимость, создаваемую пользователем — оставлять пароль по умолчанию небезопасно в любом случае.
Так если уязвимость есть, то откуда несоответствие заголовка содержанию, по-вашему?
Непонятно? Когда читатель в моем лице видит заголовок про уязвимость — по умолчанию речь идет о новой уязвимости, специфичной для конкретной продукции. Т.е. у меня роутер указанной марки, его проблемы мне известны, я вижу заголовок, кидаюсь читать (возможно, потребуется срочно обновлять прошивку) и что вижу? Рассказ про совершенно неспецифичный дефект админки, усугубленный необходимостью куда более серьезного дефекта пользователя, причем надо прочесть сначала полный текст, а потом простыню с комментариями. Если у меня нет такого роутера — то я по заголовку подумаю, что существует специфический дефект для беспроводных роутеров Tp-Link (опять китайцы сделали нечто дырявое) и окажусь дезинформирован трижды: дефект есть у большинства проводных и беспроводных домашних роутеров любой марки, дефект для эксплойта требует криворукости пользователя.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уязвимость беспроводных роутеров TP-LINK