cc防御_香港cdn高防ip_云网站服务器ddos防护-51首防安全

当前位置:主页 > 服务器防御 > 本文内容

cc防御_游戏_抗d宝

发布时间:2021-02-23 09:44源自:51首防安全作者:51首防安全阅读()

cc防御_游戏_抗d宝

已发现Eview EV-07S GPS跟踪器存在七个问题,网站安全ddos防御报价,未经验证的攻击者可以识别部署的设备、远程重置设备、学习GPS位置数据和修改GPS数据。下表简要概述了这些问题。这些问题是由Rapid7,Inc.的Deral Heiland发现的,本咨询是根据Rapid7的披露政策编写的。漏洞描述R7标识CVE公司利用向量未经验证的远程工厂重置R7-2016-28.1CVE-2017-5237电话号码远程设备标识R7-2016-28.2无(标识)电话号码范围缺少配置边界检查R7-2016-28.3CVE-2017-5238电话号码对用户数据的未经验证的访问R7-2016-28.4无(服务器端问题)Web应用程序通过身份验证的用户访问其他用户的数据R7-2016-28.5无(服务器端问题)Web应用程序用户帐户以明文传输的敏感信息R7-2016-28.6CVE-2017-5239中间人网络Web应用程序数据中毒R7-2016-28.7无(服务器端问题)Web应用程序产品描述EV-07S是一种用于个人安全保障的个人GPS跟踪器设备,在供应商网站上被描述为主要用于跟踪老年家庭成员、残疾人和病人护理、儿童保护、员工管理以及宠物和动物跟踪。测试设备直接从Eview获取,下面的图1显示了一个示例。R7-2016-28.1:未经验证的远程工厂重置##已知EV-07S的注册电话号码后,可通过发送"reset!"作为发送到设备的SMS消息中的命令。只需要电话号码;完成此任务不需要密码或物理访问。在工厂重置后,可以通过SMS消息远程配置设备,而无需密码。产品手册说明了这一功能,因此它似乎是安全配置方面的一个基本设计缺陷。R7-2016-28.1缓解措施供应商提供的修补程序应防止设备在没有物理访问设备的情况下允许未经验证的出厂重置。如果没有补丁,用户应该定期检查他们的设备,以确保配置没有被删除或更改。R7-2016-28.2:远程设备识别EV-07S设备一旦设置了密码,就不应响应发送到该设备电话号码的任何SMS查询。根据用户手册,免费防御ddos攻击,发送"reboot"和"RESET!"不需要密码对设备的命令。测试表明,尽管有用户手册声明,但如果设备设置为身份验证,"重新启动"命令需要密码。进一步的手动模糊测试通过短信揭示,命令"重新启动将导致设备响应消息"格式错误!"。由于提供了此否定响应,恶意参与者可以使用此命令通过尝试所有可能的电话号码(通常称为war拨号操作),使用包含"重新启动"的SMS消息来枚举所有设备命令。R7-2016-28.2缓解措施供应商提供的修补程序应禁用"重新启动!"启用密码保护时的命令。R7-2016-28.3:缺少配置边界检查发现多个输入配置字段未对传入的SMS消息执行正确的边界检查。如果攻击者知道设备的电话号码,这种无界限检查允许一个配置设置的过长输入覆盖另一个设置的数据。如图3所示,其中"授权号码"设置A1用于覆盖设置B1:R7-2016-28.3缓解措施提供的并对输入的所有数据进行清理检查。如果没有供应商提供的修补程序,用户应注意输入任何过长的值。在授权号码设置的情况下,cc防御公司,超过20个字符的内容将覆盖下一行的设置。R7-2016-28.4:未经验证的用户数据访问恶意参与者可以访问用户数据,包括帐户名、TrackerID和设备IMEI id。这是通过向API发布userId=**5xxx**&trackerName=&type=allTrackers来实现的。下面的示例如图4所示:假设猜测5位数字的有效用户ID所涉及的键区很小,确定所有有效用户ID似乎很简单。R7-2016-28.4缓解措施供应商在供应商web应用程序上提供的修补程序应防止对单个用户数据的未经身份验证的访问。如果没有供应商提供的补丁,用户在信任设备上的实时跟踪服务时应该小心。R7-2016-28.5:对其他用户数据的认证访问通过身份验证的用户可以访问其他用户的配置和设备GPS数据,如果他们知道或猜测一个有效的用户id、设备IMEI或TrackerID。下面三个示例(图5到图7)显示了一个经过身份验证的帐户能够访问另一个帐户的数据的这种访问级别。R7-2016-28.5缓解措施供应商提供的修补程序应防止访问其他用户的数据。如果没有供应商提供的补丁,用户在信任设备上的实时跟踪服务时应该小心。R7-2016-28.6:明文传输的敏感信息用于实时跟踪web应用程序的web应用程序,ddos防御软防御,托管在,不将SSL/TLS加密用于HTTP服务。此外,EV-07S设备将IMEI和GPS数据通过TCP端口5050通过互联网传输到本网站,无需任何加密。下面的图8显示了捕获的未加密数据的一个示例:R7-2016-28.6缓解措施服务器和客户机上的供应商提供的修补程序应能够将数据加密传输到网站,并更新网站以启用HTTPS服务并仅通过HTTPS服务这些页面。如果没有供应商提供的补丁,安徽抗ddos天网防御,用户在信任设备上的实时跟踪服务时应该小心。R7-2016-28.7:数据中毒未经验证的攻击者可以通过将类似于上面图8中所示的数据结构的设备数据注入位于的服务器来毒害实时跟踪数据网站通过TCP端口5050。攻击者只有在知道设备的IMEI号时才能这样做,但通过上述机制可以学习这些数据。这方面的一个例子如图9所示,设备的实时跟踪数据被毒化,使设备看起来像是俄罗斯的莫斯科(事实并非如此)。R7-2016-28.7缓解措施供应商提供的修补程序应在允许将设备数据发布到TCP端口5050上的站点之前启用身份验证。如果没有供应商提供的补丁,用户在信任设备上的实时跟踪服务时应该小心。披露时间表2016年12月12日,星期一:与供应商进行初步联系。2016年12月20日星期二:供应商回复并向info@eviewltd.com。2016年12月27日星期二:向CERT/CC披露,分配VU#375851。2017年3月8日星期三:与CERT/CC一起分配CVE。2017年3月27日,星期一:发布漏洞披露。

欢迎分享转载→ cc防御_游戏_抗d宝

用户评论

验证码: 看不清?点击更换

注:网友评论仅供其表达个人看法,并不代表本站立场。

Copyright © 2002-2019 51首防安全 版权所有 备案号:粤ICP备xxxxxxxx号收藏本站 - 网站地图 - - -