نوشته‌شده در

Comcast Leaked مشتری Wi-Fi ورود به سیستم را در متن ساده، تغییر رمز عبور خود را در حال حاضر

یک وب سایت Comcast Xfinity نام و گذرواژه Wi-Fi را نشت داد، بدین معنی که اکنون زمان خوبی برای تغییر رمز عبور Wi-Fi شما است.

سایت، در نظر گرفته شده برای کمک به مشتریان جدید راه اندازی روترهای جدید، می تواند به راحتی فریب خورده به نشان دادن محل و رمز عبور برای هر شبکه Wi-Fi مشتری. شناسه مشتری و شماره خانه یا آپارتمان همه مهاجمان احتمالی مورد نیاز برای دسترسی کامل به شبکه خود را همراه با آدرس کامل خود داشتند.

در اینجا زاک ویتاکر، نوشتار برای ZDNet:

ZDNet اجازه دسترسی از دو Xfinity مشتریان برای بررسی اطلاعات خود را. ما توانستیم آدرس کامل و کد پستی خود را بدست آوریم که هر دو مشتری تایید می کردند

سایت نام و رمز عبور Wi-Fi را در متن ساده برای اتصال به شبکه برای یکی از مشتریانی که از یک روتر Xfinity استفاده می کردند، به دست آورد. . مشتری دیگر از روتر خود استفاده می کرد و سایت نام شبکه و یا کلمه عبور را باز نمی گرداند.

Comcast این ویژگی را پس از انتشار مقاله ویتاکر حذف کرد، اما همیشه این امکان وجود دارد که کسی رمز عبور خود را قبل از آنکه رمز عبور را برداشت کند . در حال تغییر گذرواژه Wi-Fi شما تنها راه مطمئن شدن آن است که هیچ کس آن را نداشته باشد. در اینجا راهنمای ما برای تغییر گذرواژه Wi-Fi شما است و در اینجا دستورالعمل Comcast است.

مرتبط: مودم کابلی خود را به جای اجاره آن برای صرفه جویی 120 دلار در هر سال خریداری کنید

لازم به ذکر است که این اشکال تنها بر مشتریان Comcast که در حال اجاره یک روتر Comcast هستند را تحت تاثیر قرار می دهد. بنابراین نه تنها می تواند خریداری روتر خود را صرفه جویی شما 120 دلار در سال، آن را نیز محافظت از شما از اشکالات امنیتی Comcast است.

عکس اعتباری: راب ویلسون / Shutterstock.com


جاستین پوت نویسنده نویسندگی برای How-To Geek و علاقه مندان به فناوری است که در آن زندگی می کنند هیلس بورو، اورگان. اگر می خواهید، در توییتر و فیس بوک دنبال کنید. شما مجبور نیستید.

نوشته‌شده در

کنترل دسترسی – آیا یک نقطه مرجع مستقیم ناامن مستقیم به یک فایل ساده یا صفحه می تواند؟

تعريف مرجع ابرداده مستقيم ناامن (IDOR) از OWASP (تاکيد معدن)

اشاره مستقيم به ايمني مستقيم ناامن هنگامي رخ مي دهد که برنامه فراهم شود
  دسترسی مستقیم به اشیاء بر اساس ورودی کاربر ارائه شده. به عنوان یک نتیجه از
  این مهاجمان آسیب پذیر می توانند اجازه و دسترسی را از بین ببرند
  منابع در سیستم به طور مستقیم، به عنوان مثال سوابق پایگاه داده و یا
  فایل ها

لینک های ناخواسته مستقیم Object اجازه می دهد تا حمله ها را دور بزنند
  مجوز و دسترسی به منابع به طور مستقیم با تغییر مقدار از
  پارامتر مورد استفاده به طور مستقیم اشاره به یک شی .

درک من از مورد کلی این است که اگر شما در برنامه خود که در نظر گرفته شده است حفاظت شده است و شما می توانید به طور مستقیم توسط دسترسی به اشاره به آن را در URL از شما به عنوان مشکل * .

به معنای واقعی کلمه تمام نمونه هایی از IDOR من دیده ام، همیشه از شمارش در URL (به عنوان در پاراگراف دوم از من نقل قول): یکی از دسترسی به http://example.com؟id=10 (correlicty) است، اما با دستکاری id ، او دسترسی به http: // example.com؟id=1033 که او نباید مجبور باشد.

برای من این تنها یک نمونه خاص از این آسیب پذیری است. من هم فکر می کنم (و در اینجا سؤال من است) آدرس هایی مانند 

 http://example.com/menu1/menu2/topsecret/file.pdf

یا 

 http://example.com/menu1/menu2/topsecret/

نیز مسائل مربوط به نکات مستقیم اشیاء ناامن (هنگام دسترسی غیرمنتظره) هستند.

آیا در فهم من درست است؟

* چرا این فقط یک "هیچ ACL" نیست، پس از آن؟ (به عنوان مثال A10 "کنترل دسترسی شکسته") از آنجا که ممکن است این صفحه هنگامی محافظت شود که شما سعی در دسترسی به آن "راه طبیعی" (به عنوان مثال از طریق منوهای که برای شما قابل مشاهده است فقط زمانی که شما دارای حقوق مناسب است)