DLINK 漏洞报告——DLINK 645 未经验证访问目录

DLINK 645 未经验证访问目录

漏洞描述
由于dlink 645型号可外置usb存储,当用户开启此功能后,可根据指定页面访问查看usb目录结构,导致用户usb存储信息泄露。

受影响版本
 固件版本:V1.03
 硬件版本:A1

安全隐患
经测试发现,由于没有正常进行文件权限访问控制导致了,文件从外置直接访问导致任意用户可查看usb存储目录。主要造成以下危害:

1. 窃取隐私
可直接远程查看用户usb存储的文件夹结构,导致用户隐私泄露。
2. 恶意创建文件夹
攻击者可使用工具在usb存储中恶意创建大量垃圾文件夹

安全防护
由于无需登录路由器可直接浏览文件夹,建议以下几点安全防护方法:

1. 切勿使用usb存储共享敏感数据
2. 升级检测最新版本固件
3. 增加wifi验证密码强度
最后编辑麦青儿 最后编辑于 2016-01-26 17:29:56