查看: 2657|回复: 3
收起左侧

[讨论] al_9x是对的,我的路由器是安全的!--noscript(翻译)

[复制链接]
江3如此多娇
发表于 2013-1-7 20:54:10 | 显示全部楼层 |阅读模式
本帖最后由 江3如此多娇 于 2013-1-8 11:52 编辑

noscript社区的元老Grumpy Old Lady给我发了个链接,告诉我一些消息,是关于美国黑帽会议上Graig Heffner的 “如何hack数百万路由器” 的报告的现场记录,他气功的工具可以远程控制许多存在一种特别的DNS重新绑定漏洞的路由器。

因为我没有参加洛杉矶的会议,所以我很焦虑的查找与al_9x’s惊人报道的相关信息,那是对路由器在WAN IP的网络上暴露管理权限的漏洞的利用(即使远程管理权限被禁用了)。而我很高兴的发现,他是对的。

我当然高兴,因为我不用再赶工编写一个另一个如同noscript2中包含的WAN IP保护的ABE功能,而且也因为我家的路由器同样是有漏洞的。

但是还是有些东西需要强调一下:

在Heffner列举的的预防措施的报告中(尽管他之前就说过nsocript对次也无能为力),这样写道,

用noscript(禁用JS?)可能对大多数用户来说不太现实

确实如果用户禁用了JS(很有可能,如果他安装了nsocript),Heffner的攻击方法就会失败。这意味着noscript的老用户们(1.0一前的版本)早已避免了被Heffner的工具以及这种“基于DNS重新绑定的XSS”入侵的危险。

但是,就像很多其他新出现的威胁,noscript提供了一种特殊的保护来对付这种传统的漏洞(这里noscript的保护基于ABE),完全独立于JS脚本拦截技术。换言之,不管你禁用不禁用JS,插件,框架等,ABE都会照旧起作用。我们没必要放弃这种保护,因为它和手动选择放行那种保护完全不相关。

所以,有时候安全专家也没弄明白noscript的的真正的“便利和安全”的平衡,想当然的认为noscript所提供的所有安全保护都是基于脚本禁用的。在这儿大致列举一些noscript与JS禁用无关的攻击拦截功能

  • XSS, 基于 “注入检测器”, 浏览器上第一个反XSS攻击的应用
  • 点击劫持 — NoScript的 ClearClick(清楚点击)技术目前也是浏览器上唯一有效的预防手段,它无需服务器端的部署。
  • CSRF (特别是跨域攻击) 通过ABE
  • MITM, 关于HTTPS和加密cookie等技术


这些仅是nosnript提供的众多与JS禁用无关的保护中的一部分,所以下次再有人跟你说“恩,用FF+nsocript是安全,就是太麻烦!” 直接跟他们说,即使不用JS拦截技术,noscript照样很强大~~~


原文

TM截图未命名.png
linhaicong168
发表于 2013-1-7 23:32:26 | 显示全部楼层
亲,你这么痴迷于noscript,可否贡献一下你的abe规则
fengliu139
发表于 2013-1-8 04:43:32 | 显示全部楼层
linhaicong168 发表于 2013-1-7 23:32
亲,你这么痴迷于noscript,可否贡献一下你的abe规则

应该不用规则
江3如此多娇
 楼主| 发表于 2013-1-8 09:30:40 | 显示全部楼层
linhaicong168 发表于 2013-1-7 23:32
亲,你这么痴迷于noscript,可否贡献一下你的abe规则

我不会
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 04:03 , Processed in 0.129634 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表