Websecurity - Веб безпека

26.07.2014

У липні, 13.07.2014, я знайшов уразливості в Hikvision DS-7204HWI-SH. Це DVR - відеореєстратор (пристрій подібний до веб камери). Зокрема Abuse of Functionality та Brute Force уразливості.

Раніше я писав про уразливості у веб камерах, зокрема в D-Link DCS-2103 і Dahua IP Camera.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

23.01.2015

Abuse of Functionality (WASC-42):

Логін постійний: admin.

Brute Force (WASC-11):

В формі логіна http://site/doc/page/login.asp немає захисту від Brute Force атак. Дані відправляється через GET запит з Basic Authorization.

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Але вони захистилися від CSRF атаки через використання Basic Authorization.

This entry was posted on 23:57 23.01.2015 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.