cc防御_香港cdn高防ip_云网站服务器ddos防护-51首防安全

当前位置:主页 > 高防CDN > 本文内容

应对ddos_能不能防住_被ddos换ip

发布时间:2021-02-23 11:04源自:51首防安全作者:51首防安全阅读()

应对ddos_能不能防住_被ddos换ip

这篇文章描述了双机器人临场感机器人生态系统中的三个漏洞,它们与不正确的身份验证、会话固定和弱蓝牙配对有关。我们要感谢Double Robotics及时承认了这些漏洞,并解决了他们认为严重的漏洞。2017年1月16日,通过更新Double Robotics服务器,三个漏洞中的两个被修补。Credit这些问题是由Rapid7研究员Deral Heiland发现的。根据Rapid7的披露,他们被报告给Double Robotics和CERT/CC政策.产品双临场感机器人是一种移动会议设备。它的移动性允许远程用户在办公室里漫游,进行会议和面对面交流对话。供应商Double Robotics联合创始人兼首席执行官大卫的声明坎恩:双倍机器人技术,我们致力于为客户提供最好的体验,这意味着不仅提供灵活、创新的技术,而且,最高级别的安全保障。Rapid7全面的渗透测试确保了我们所有产品的安全运行,因此我们可以继续提供最佳的临场感体验。在实施补丁之前,没有任何电话被泄露,也没有任何敏感的客户数据被泄露。此外,Double还使用WebRTC的端到端加密,防御cc免费工具,以实现低延迟、安全的视频电话。总结漏洞R7-2017-01.1:未经身份验证的数据访问未经身份验证的用户可以访问双2设备信息,包括:设备序列号、当前和历史驱动程序以及机器人会话信息,设备安装密钥和GPS坐标。R7-2017-01.2:静态用户会话管理访问令牌(也称为驱动程序\_令牌),在分配给Robot的帐户期间创建的令牌从未更改或过期。如果此令牌被泄露,它可以用于在没有用户帐户或密码的情况下控制机器人。R7-2017-01.3:弱蓝牙配对移动应用程序(iPad)和机器人驱动装置之间的配对过程不需要用户知道挑战PIN。一旦与机器人驱动单元配对,恶意参与者可以从互联网下载双机器人移动应用程序,并使用它(与web服务一起)控制驱动器单元.脆弱性详细信息和缓解措施SR7-2017-01.1:未经身份验证的数据访问在以下示例中,使用URL访问了与会话相关的关键信息https://api.doublerobotics.com/api/v1/session/?limit=1&offset=xxxxxxx&format=json。通过增加"offset="数字,所有历史和当前会话的信息可以是e计算:在下一个例子,robot和用户安装密钥是通过递增URL中的"offset="数字来枚举的https://api.doublerobotics.com/api/v1/installation/?limit=1&offset=xxxxxxx&format=json,阿里云cdn能防御cc跟d吗,如图所示下图:周一2017年1月16日,双重部署了服务器补丁来缓解此问题。R7-2017-01.2:静态用户会话管理尽管驱动程序\ \u令牌是一个复杂、唯一、40个字符的令牌(因此不太可能被猜测),它仍然可以被任何有权访问双机器人iPad或成功创建SSL中间人攻击设备的人列举。例如,通过一个成功的中间人攻击或访问机器人iPad的缓存.db文件,恶意参与者可以识别robot\\密钥,如图所示下图:使用这个未经身份验证的用户可以枚举所有允许远程控制robot访问的用户访问令牌(驱动程序标记)。此枚举方法的示例如下所示下图:周一2017年1月16日,Double Robotics部署了一个服务器补丁来缓解此问题。上述API查询不再将相关会话令牌暴露给双设备。R7-2017-01.3:弱蓝牙配对该漏洞的暴露受到限制,因为该单元一次只能与一个控制应用程序配对。此外,恶意参与者必须离得足够近才能建立蓝牙连接。这个距离可以是显著的(最多1英里),10gddos防御,并增加了一个高增益天线。开2017年1月16日,Mon,Double Robotics表示,它不认为这是一个重大的安全漏洞,目前也不打算修补。用户应确保驱动程序组件与控制iPad保持配对,1g带宽防御ddos,以避免暴露。披露时间本漏洞咨询是根据Rapid7的披露编制的政策。12月2016年:由Rapid7的Deral HeilandMon发现,2017年1月9日:向Double RoboticsMon披露,2017年1月9日:Double Robotics承认了漏洞Mon,2017年1月16日:R7-2017-01.1和R7-2017-01.2由Double Robotics通过服务器补丁,2017年1月24日:向CERT/CCWed披露,2017年1月25日:Rapid7和CERT/CC决定不对这些漏洞发布cve。R7-2017-01.01和01.02出现在Double的web应用服务器中。由于受影响的软件只有一个实例,并且不需要用户执行任何操作来应用修复程序,因此不保证CVE。R7-2017-01.03是一个需要用户注意的问题,但它只允许在配对成功的情况下控制驱动单元。如果没有额外的数据,云服务器防御ddos,则无法修改用户数据妥协,太阳2017年3月12日:向公众披露

欢迎分享转载→ 应对ddos_能不能防住_被ddos换ip

用户评论

验证码: 看不清?点击更换

注:网友评论仅供其表达个人看法,并不代表本站立场。

Copyright © 2002-2019 51首防安全 版权所有 备案号:粤ICP备xxxxxxxx号收藏本站 - 网站地图 - - -