Websecurity - Веб безпека

19.09.2014

У серпні, 22.08.2014, я знайшов уразливості в Hikvision DS-2CD2012-I. Це IP Camera - мережева веб камера. Зокрема XML Injection, Brute Force та Abuse of Functionality уразливості.

Стосовно веб камер та відеореєстраторів Hikvision раніше я писав про уразливості в Hikvision DS-2CD2412F-IW.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

14.05.2015

XML Injection (WASC-23):

http://site/ISAPI/%3C/requestURL%3E%3Clink%3Ehttp://site%3C/link%3E%3CrequestURL%3E/

Її можна використати для XML Injection та XSS атак.

Abuse of Functionality (WASC-42):

Логін постійний: admin.

Brute Force (WASC-11):

В формі логіна http://site/doc/page/login.asp немає захисту від Brute Force атак. Дані відправляється через GET запит з Basic Authorization.

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Але вони захистилися від CSRF атаки через використання Basic Authorization.

Всі ці уразливості наявні в різних камерах Hikvision. Розробники вже виправили XML Injection та Brute Force.

This entry was posted on 23:57 14.05.2015 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.