Не так давно я стал счастливым обладателем беспроводного роутера TP-LINK TL-WR340GD. За два месяца работы роутер показывал себя только с лучшей стороны, многократно оправдывая свою низкую цену.
Но я почувствовал «резкие колебания в Силе» и решил проверить этот роутер на одну уязвимость. Чутьё не подвело меня. Спойлер: всегда меняйте настройки роутера по умолчанию!
Админка роутера управляляется GET-запросами. А это значит, что поместив, допустим, ссылку
К чему это может привести? К полному управлению роутером! К тому же, нехитрыми действиями можно открыть удалённое управление роутером и сообщить на свой сервер ip-адрес жертвы. Изменить маршрут до сервера vkontakte и с помощью фишинга, который проблематично будет обнаружить, заставляем жертву установить троян. А всё от того, что кто-то поленился сменить настройки по умолчанию…
PS: Если Вы пользуетесь роутером другой фирмы, пожалуйста, проверьте его на подобную уязвимость. Эту и другую полезную информацию буду рад видеть в комментариях.
Но я почувствовал «резкие колебания в Силе» и решил проверить этот роутер на одну уязвимость. Чутьё не подвело меня. Спойлер: всегда меняйте настройки роутера по умолчанию!
Админка роутера управляляется GET-запросами. А это значит, что поместив, допустим, ссылку
http://admin:admin@192.168.1.1/userRpm/SysRebootRpm.htm?Reboot=Reboot в аттрибут src тега img, мы перезагрузим роутер человека, не сменившего первоначальные настройки. Ну, в том числе и по этой причине, не стану демонстрировать готовую «картинку». Аналогично со всем управлением, кроме, возможно, перепрошивки.К чему это может привести? К полному управлению роутером! К тому же, нехитрыми действиями можно открыть удалённое управление роутером и сообщить на свой сервер ip-адрес жертвы. Изменить маршрут до сервера vkontakte и с помощью фишинга, который проблематично будет обнаружить, заставляем жертву установить троян. А всё от того, что кто-то поленился сменить настройки по умолчанию…
PS: Если Вы пользуетесь роутером другой фирмы, пожалуйста, проверьте его на подобную уязвимость. Эту и другую полезную информацию буду рад видеть в комментариях.
