Tenda漏洞报告——Tenda 4G301 跨站脚本漏洞
概述
随着无线网络的普及,无线路由器的需求也随之增长。随着TP-LINK,思科等知名品牌路由器安全漏洞的披露,路由器的安全也遭到了用户质疑。今天的安全隐患可能会造成明日的安全事件,正如一个小小的跨站XSS漏洞可能会造成操作系统的浏览器溢出,当有心人路过你的电脑时,无线路由器可能会自动泄露你的路由密码。
Tenda 4G301 跨站脚本漏洞
漏洞描述在安全设置处,存在存储型XSS跨站脚本漏洞,攻击者可以精心构造一个恶意网马链接,对用户移动终端进行攻击。且此漏洞攻击代码一旦保存,只能通过重置路由器恢复出厂设置。
受影响版本
固件版本:低于V1.01.30
硬件版本:V1.0
安全隐患
经测试发现,由于没有正常过滤恶意代码,导致攻击者通过WEB向用户植入木马病毒。根据互联网OWASP Top 10,XSS跨站脚本漏洞名列前茅,主要造成以下危害:
1、窃取隐私
可通过JS键盘记录用户信息。
2、钓鱼欺骗
植入钓鱼网站代码,进行中奖类、博彩类钓鱼等。
3、偷取密码
使用恶意javascript代码进行浏览器密码截取。
4、传播恶意代码
使用恶意代码,造成浏览器溢出,并植入木马病毒等程序。
安全防护
由于植入恶意代码首先要登录路由管理界面,建议采取以下几个安全防护方法:
1、修改路由密码强度
2、切勿泄漏密码
3、增大无线路由wifi 密码强度,防止恶意蹭网
4、升级检测最新版本固件