瑞星卡卡安全论坛

首页 » 个人产品讨论区 » 瑞星其他产品 » 瑞星路由安全卫士 » 路由系统内核漏洞 » Tenda漏洞报告——Tenda 4G301 跨站脚本漏洞
麦青儿 - 2014-8-29 13:21:00
概述
随着无线网络的普及,无线路由器的需求也随之增长。随着TP-LINK,思科等知名品牌路由器安全漏洞的披露,路由器的安全也遭到了用户质疑。今天的安全隐患可能会造成明日的安全事件,正如一个小小的跨站XSS漏洞可能会造成操作系统的浏览器溢出,当有心人路过你的电脑时,无线路由器可能会自动泄露你的路由密码。

Tenda 4G301 跨站脚本漏洞

漏洞描述
在安全设置处,存在存储型XSS跨站脚本漏洞,攻击者可以精心构造一个恶意网马链接,对用户移动终端进行攻击。且此漏洞攻击代码一旦保存,只能通过重置路由器恢复出厂设置。

受影响版本
固件版本:低于V1.01.30
硬件版本:V1.0

安全隐患
经测试发现,由于没有正常过滤恶意代码,导致攻击者通过WEB向用户植入木马病毒。根据互联网OWASP Top 10,XSS跨站脚本漏洞名列前茅,主要造成以下危害:

1、窃取隐私
可通过JS键盘记录用户信息。
2、钓鱼欺骗
植入钓鱼网站代码,进行中奖类、博彩类钓鱼等。
3、偷取密码
使用恶意javascript代码进行浏览器密码截取。
4、传播恶意代码
使用恶意代码,造成浏览器溢出,并植入木马病毒等程序。

安全防护
由于植入恶意代码首先要登录路由管理界面,建议采取以下几个安全防护方法:
1、修改路由密码强度
2、切勿泄漏密码
3、增大无线路由wifi 密码强度,防止恶意蹭网
4、升级检测最新版本固件
天月来了 - 2014-9-15 9:34:00
千年之后,人们见面打招呼都是这句了:“今天你溢了没?”:kaka5:
ae32 - 2015-7-23 17:55:00
文明健康回帖
1
查看完整版本: Tenda漏洞报告——Tenda 4G301 跨站脚本漏洞