al_9x是对的，我的路由器是安全的！--noscript（翻译）

江3如此多娇

noscript社区的元老Grumpy Old Lady给我发了个链接，告诉我一些消息，是关于美国黑帽会议上Graig Heffner的 “如何hack数百万路由器” 的报告的现场记录，他气功的工具可以远程控制许多存在一种特别的DNS重新绑定漏洞的路由器。

因为我没有参加洛杉矶的会议，所以我很焦虑的查找与al_9x’s惊人报道的相关信息，那是对路由器在WAN IP的网络上暴露管理权限的漏洞的利用（即使远程管理权限被禁用了）。而我很高兴的发现，他是对的。

我当然高兴，因为我不用再赶工编写一个另一个如同noscript2中包含的WAN IP保护的ABE功能，而且也因为我家的路由器同样是有漏洞的。

但是还是有些东西需要强调一下：

在Heffner列举的的预防措施的报告中（尽管他之前就说过nsocript对次也无能为力），这样写道，

用noscript（禁用JS？）可能对大多数用户来说不太现实

确实如果用户禁用了JS（很有可能，如果他安装了nsocript），Heffner的攻击方法就会失败。这意味着noscript的老用户们（1.0一前的版本）早已避免了被Heffner的工具以及这种“基于DNS重新绑定的XSS”入侵的危险。

但是，就像很多其他新出现的威胁，noscript提供了一种特殊的保护来对付这种传统的漏洞（这里noscript的保护基于ABE），完全独立于JS脚本拦截技术。换言之，不管你禁用不禁用JS，插件，框架等，ABE都会照旧起作用。我们没必要放弃这种保护，因为它和手动选择放行那种保护完全不相关。

所以，有时候安全专家也没弄明白noscript的的真正的“便利和安全”的平衡，想当然的认为noscript所提供的所有安全保护都是基于脚本禁用的。在这儿大致列举一些noscript与JS禁用无关的攻击拦截功能：

• XSS, 基于 “注入检测器”, 浏览器上第一个反XSS攻击的应用
• 点击劫持 — NoScript的 ClearClick（清楚点击）技术目前也是浏览器上唯一有效的预防手段，它无需服务器端的部署。
• CSRF (特别是跨域攻击) 通过ABE
• MITM, 关于HTTPS和加密cookie等技术
  

这些仅是nosnript提供的众多与JS禁用无关的保护中的一部分，所以下次再有人跟你说“恩，用FF+nsocript是安全，就是太麻烦！” 直接跟他们说，即使不用JS拦截技术，noscript照样很强大～～～


原文

linhaicong168

亲，你这么痴迷于noscript，可否贡献一下你的abe规则

fengliu139

linhaicong168 发表于 2013-1-7 23:32
亲，你这么痴迷于noscript，可否贡献一下你的abe规则

应该不用规则

江3如此多娇

linhaicong168 发表于 2013-1-7 23:32
亲，你这么痴迷于noscript，可否贡献一下你的abe规则

我不会