微点交流论坛

标题: Thomson Speedtouch 780伪造跨站请求和跨站脚本攻击 [打印本页]

作者: pioneer 时间: 2007-11-19 12:55 标题: Thomson Speedtouch 780伪造跨站请求和跨站脚本攻击

来源

secunia.com

操作系统

Thomson SpeedTouch 780 6.x

描述

这可导致伪造跨站请求和跨站脚本攻击

1)cgi/b/ic/connect/的中输入的"url"参数在返回到用户前没有被正确过滤，

2)用户可以通过HTTP请求在没有对设备执行有效性检查确认请求的情况下执行认定操作，这可通过欺骗已登录用户访问恶意网址来改变管理员密码

该漏洞在 firmware version 6.1.4.3中已经确认，其它版本可能也受到影响

解决方案

不要浏览不可信网址或网址上的不可信链接

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn