Создать ответ 
 
Рейтинг темы:
  • Голосов: 9 - Средняя оценка: 1.33
  • 1
  • 2
  • 3
  • 4
  • 5
Обход HTTP-авторизации в компонентах видео-наблюдения Samsung
Автор Сообщение
Security Не на форуме
Senior Member
****

Сообщений: 744
Зарегистрирован: 21-11-2009
Рейтинг: 0
Сообщение: #1
Обход HTTP-авторизации в компонентах видео-наблюдения Samsung
Итальянский исследователь информационной безопасности Андреа Фабрици (Andrea Fabrizi) обнаружил возможность получения доступа к настройкам систем видеозаписи Samsung DVR, применяемых в комплексах видео-наблюдения. Система управления Samsung DVR представляет собой веб-интерфейс на базе lighttpd и отдельных CGI-скриптов. Авторизация пользователей производится с использованием двух cookies-файлов, которые содержат логин и пароль в виде base64-закодированной строки, что делает возможным авторизацию при перехвате cookies из незащищенных каналов передачи данных. Но самая главная уязвимость заключается в том, что большинство скриптов проверяют лишь наличие этих cookies, а не их содержимое. Как показал анализ, неавторизованный пользователь может: получить доступ к списку пользователей или изменить конфигурацию устройства, в том числе временную метку, установив произвольный NTP-сервер синхронизации, а также изменить другие настройки. Разработчик никак не отреагировал на уязвимости, поэтому специалисты рекомендуют ограничить доступ к веб-интерфейсу только для доверенных узлов сети. По данным исследователя, уязвимости подвержены все устройства этого класса с прошивками до версии 1.10 включительно.

Опубликовано: 11-10-2013
Подробнее: http://uinc.ru/news/oa740.html
11-10-2013 14:02
Вебсайт Найти все сообщения Цитировать это сообщение
Создать ответ 


Похожие темы
Тема: Автор Ответов: Просмотров: Посл. сообщение
  На сервере Minecraft устранена уязвимость в системе авторизации Security 0 2,734 20-07-2012 20:35
Посл. сообщение: Security
  Corel приобрела видео-редакторы Pinnacle Studio и Avid Studio Security 0 2,631 15-07-2012 08:38
Посл. сообщение: Security
  В веб-авторизации Windows Live исправлена XSS-уязвимость Security 0 2,683 14-07-2012 01:08
Посл. сообщение: Security
  Обход авторизации в СУБД MySQL и MariaDB Security 0 2,336 11-06-2012 12:51
Посл. сообщение: Security
  Голос из iPhone 4S сдает секреты в обход паролей Security 0 2,826 20-10-2011 20:19
Посл. сообщение: Security
  Samsung шпионит за покупателями своих компьютеров Security 0 2,286 31-03-2011 15:24
Посл. сообщение: Security
  "Китайские хакеры" стащили у Google систему авторизации Security 0 2,465 20-04-2010 11:50
Посл. сообщение: Security
  Яндекс.Деньги ввели одноразовые коды авторизации Newsman 0 3,099 15-06-2009 12:25
Посл. сообщение: Newsman
  Youtube и Digg раздали юзерам видео с червем Newsman 0 2,372 04-03-2009 15:20
Посл. сообщение: Newsman
  Adobe открыла дорогу к халявному видео на Amazone Newsman 0 2,737 29-09-2008 22:54
Посл. сообщение: Newsman



Пользователи просматривают эту тему: 1 Гость(ей)
Обратная связьSitesCo.ruВернуться к началуВернуться к содержимомуЛёгкий режимСписок RSS