路由器里的终端设备名带来的安全问题

路由器里的终端设备名带来的安全问题

xsser (十根阳具有长短!!) | 2012-12-04 15:30

很多设备都是会在管理界面里可以看到链接终端名字的，而终端名字是来自于外部输入的，并且不同于ip和mac，既然这样就会有一些问题，譬如溢出，命令执行，如果有数据库可能有注射，还有最基本的xss

不过在我这里测试没成功，大家的路由器上会有问题么？

---

xsjswt | 2012-12-04 15:35

没见过哪个路由器带数据库的，xss倒可以想下

2#

xsser (十根阳具有长短!!) | 2012-12-04 15:36

@xsjswt 一个文本文件也叫数据库

3#

坏虾 (黑阔都被爆菊花~) | 2012-12-04 15:41

@xsser  你是故意的吧....你要负全责....

4#

坏虾 (黑阔都被爆菊花~) | 2012-12-04 15:41

不好意思  上错图了...这个才是....

5#

小胖胖要减肥 | 2012-12-04 15:42

@xsser 期待测试成功，不过我更想测试那种网络监控软件的，如果那个能xss你就能反监控了

6#

xsser (十根阳具有长短!!) | 2012-12-04 15:45

@坏虾 没成功啊？

7#

xsjswt | 2012-12-04 15:49

@xsser 这个可以有。。。。。。

8#

坏虾 (黑阔都被爆菊花~) | 2012-12-04 15:53

@xsser 反正是存在XSS漏洞,但是无法利用.

9#

xsser (十根阳具有长短!!) | 2012-12-04 15:54

@坏虾 你抹得啥也看不见

10#

坏虾 (黑阔都被爆菊花~) | 2012-12-04 16:03

@xsser 限制为24个字符之内,求XSS攻击方法... 上图是因为乱X JS,把页面插坏了,刚用firebug修回来

11#

暗夜清风 (轻抚菊花，笑而不语) | 2012-12-04 20:25

路由器不是很多都可以自己升级WEB管理   大牛们自己写个升级然后里面自带数据库

12#

Nohat | 2012-12-05 00:13

我也尝试了一下

第一步

13#

Nohat | 2012-12-05 00:20

第二步

把前面的

不过，如果有足够多设备，也许可以用拆分的方式跨到吧（只是一个想法，没这么多资源实验）

14#

Hxai11 (原谅我这一生不羁放纵爱自由，也会怕有一天会跌倒) | 2012-12-05 08:22

支持个

15#

灵惜 (哇咔咔，搞定它) | 2012-12-05 08:37

@Nohat   android-sdk-windows

16#

wanglaojiu (天若有情天亦老人若有情死得早，凶胎又侧漏了) | 2012-12-05 08:40

已实战月余，中招率不到千分之3，钱景堪忧。

17#

wanglaojiu (天若有情天亦老人若有情死得早，凶胎又侧漏了) | 2012-12-05 08:41

难点在于N多人不清楚自己路由帐号和密码。

18#

Nohat | 2012-12-05 08:49

@灵惜 木有编程基础。。哭

19#

Nohat | 2012-12-05 08:50

@wanglaojiu 这是真的，尤其家庭用户，有几个会登陆到这个页面去看的

20#

wanglaojiu (天若有情天亦老人若有情死得早，凶胎又侧漏了) | 2012-12-05 08:56

@Nohat 嗯嗯，所以说比较鸡肋了，垃圾数据一大堆，劳累N久收获木有。

摘自：http://zone.wooyun.org/content/1809

文章来源于lcx.cc:路由器里的终端设备名带来的安全问题

相关推荐: SQL注入攻击和深层攻击方式发掘

稍微整理了下，有点乱 author:邪公子(evilboy) 0x01 SQL注入攻击内部机理透视       SQL注入攻击已经出现很长时间，给很多的网站带来了危害，而且貌似还在继续着。国内关于SQL注入的攻击方式貌似已经比较成熟的，像一些大型的网站，基本上…