欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

怎么样利用D-Link的高端路由器构造ddos僵尸的网络呢

来源:本站整理 作者:佚名 时间:2017-09-19 TAG: 我要投稿
读者能够拜访此链接懂得完备的PoC代码。
五、光阴线
这里我想提一下咱们跟D-Link网安团队的雷同进程,光阴线以下:
04/26/2017: 咱们将hnap协定漏洞破绽bug关照开发者。
04/28/2017: D-Link员工答复说他们曾经在beta版的固件中修复了这个漏洞破绽bug,咱们能够从support.dlink.com下载响应固件。(注:D-Link主页上没有固件下载这一栏)
04/28/2017 – 05/03/2017:咱们阐发了D-Link在答复中提到的谁人固件版本,发明咱们关照开发者的某个漏洞破绽bug仍旧没有被修复。
05/03/2017 – 05/09/2017:咱们发明了固件中的另一个漏洞破绽bug,关照D-Link并扣问前一个漏洞破绽bug的修复环境。他们答复称漏洞破绽bug的检测、修复和评价必要一段光阴。
06/01/2017:咱们将漏洞破绽bug信息关照CERT,收到的答复以下:
“向您问候并真挚感激您提交的漏洞破绽bug申报。颠末检察后,咱们决议不处置该漏洞破绽bug申报。
咱们倡议您继承跟厂商雷同,再地下这些漏洞破绽bug信息。”
06/02/2017:D-Link缄默了快要一个月,是以咱们决议采用一些行为。咱们正告D-Link,假如他们对这些漏洞破绽bug听任不论,咱们会向"表露这些漏洞破绽bug。
06/06/2017:D-Link在答复中提到了他们的漏洞破绽bug响应进程,发送了一个beta版固件,在固件中修复了phpcgi漏洞破绽bug。但是以条件交给D-Link的另一个漏洞破绽bug仍旧被开发者疏忽了(能够D-Link网安团队仍旧深信他们曾经在beta版固件中修复了这个漏洞破绽bug)。
咱们再一次就未修复的漏洞破绽bug接洽D-Link。果不其然,咱们没有得到任何答复。咱们从开发者那里得到的末了一条答复以下:
“首先向您问候,
咱们的研发团队正在研讨您的漏洞破绽bug申报。在理清漏洞破绽bug起源、供给解决方案及肯定成绩规模(咱们必要肯定漏洞破绽bug影响的详细型号)以前,咱们平日不会评论辩论详细的停顿环境。
本周初咱们应该会宣布一些更新包。
对于您的研讨工作我无奈供给任何停顿信息。一旦咱们修复漏洞破绽bug后,咱们会在support.dlink.com上颁布颠末第三方认证的详细信息。
正如您看到的那样,平日环境下,漏洞破绽bug的修复周期为好几个礼拜。颠末验证后,咱们会以beta版情势向"供给固件,在颁布RC版以前,咱们还必要颠末较长的质检周期。完备的宣布周期平日必要90天。
假如您抉择早点颁布漏洞破绽bug申报,请向咱们供给详细的URL地点。由于假如你盼望该漏洞破绽bug得到一个CVE编号,咱们必要详细的申报作为参考。”
8月中旬,咱们拜访support.dlink.com,发明开发者上传了同一个beta版固件,该固件中仍有2个未修复。
是以,咱们的论断为:
D-Link只在DIR890L路由器中修复了一个漏洞破绽bug,其余装备仍旧处于不网安状况。
开发者完整疏忽了其余两个漏洞破绽bug。
我只能说,干得英俊,D-Link!

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载