本文講的是<b>神漏洞!發條短信,路由器竟主動吐露Wi-Fi密碼</b>,TP-Link的裝置漏洞庫又增新丁。
這次的主角是TP-Link M5350,一款便攜式3G路由器。
據Bleeping Computer報道,德國安全研究員Jan Hörsch發現,該款路由器存在一枚神奇漏洞,向路由器發送短信,它便會将管理者密碼、Wi-Fi密碼以短信形式回複。
這是條什麼短信呢?
漏洞效果圖
懂行的讀者應該已經知道是怎麼回事了。沒錯,這就是XSS(跨站腳本攻擊)漏洞。
作為3G路由器,TP-Link M5350支援短信收發功能,但在短信功能位置未做好過濾,以至于産生漏洞。
類似漏洞在網際網路産品上比較常見,但能造成此等效果也很罕見,目測是TP-Link内部安全流程沒能留意到。
聽着厲害,不過想利用漏洞得先搞清楚使用者的3G上網卡号碼,難度也不小。
比較奇葩的是,TP-Link目前應該還沒修複漏洞。SecurityAffairs專門找了M5350的官方産品頁(澳洲版),發現這款路由最新的固件釋出日期是2015年1月,顯然不是修複版。嘶吼也檢索了一番,了解到M5350主要在海外賣,京東淘寶都沒有,國内想研究的童鞋顯然沒啥機會了。
原文釋出時間為:2017年4月12日
本文作者:longye
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/info/news/4249.html" target="_blank">原文連結</a>
![“雲管邊端”協同的邊緣計算安全防護解決方案0 引 言1 5G 及邊緣計算2 邊緣計算面臨的風險3 “雲管邊端”安全防護技術4 “雲管邊端”安全防護實踐5 結 語[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)