drive-by pharming definition:
驾车嫁接是一个漏洞利用,保护不当的攻击者利用宽带路由器获取用户数据。赛门铁克技术开发,与印第安纳州Univeity,作为一个概念验证利用这可能导致身份盗窃或其他有害的结果,如拒绝服务(DoS)或恶意软件感染。易受驾车嫁接攻击路线,包括思科的产品、友讯科技,路由器和美国网件公司。思科发布一个顾问声称77%的路线存在风险。
漏洞源于这样一个事实,大多数的路线船使用默认密码和内部IP地址范围和基于web的接口配置。在2006年12月发表的一篇论文,Stamm researche Sid、Zulfikar Ramzan和杰可布森发布/技术报告TR641:马库斯驾车嫁接。尽管有,在这一点上,在野外没有驾车嫁接的报道,researche画报》将是多么容易利用的自然浏览习惯使用他们没有改变默认密码的路线。
利用漏洞,所有的攻击者要做的就是写一行JavaScript,指定默认的路由器密码值(经常访问在线)和添加一个HTTP查询将重新配置路由器D服务器设置指定自己的D服务器。攻击者可以iert JavaScript Web页面上的HTML代码,发送垃圾邮件或使用该页面通过链接在一个有效的——但是妥协——网站。
与其他嫁接利用一样,驾车嫁接利用用户的“正常的浏览习惯通过重定向请求。一旦用户已经包含JavaScript的Web页面,很简单的攻击者重定向一个站点,然后访问任何数据用户烤鸭。嫁接与钓鱼的差异更大的使用电脑可以numbe受害者——因为没有必要目标个人一个接一个,不需要cocious行动的一部分受害者。
保护agait驾车嫁接,使用应该在itallation改变密码的路线。根据印第安纳Univeity一项研究的结果,50%的使用目前未能这样做。创建一个更安全的网络环境,代路由器生产应该创建安装程序,在itallation修改默认设置和配置。
最近更新时间:2015-11-30 EN
相关推荐
-
4种类型的访问控制
完善的身份和访问管理(IAM)策略需要正确利用政策、流程和技术。当企业想通过零信任网络安全原则取得成功时,这些 […]
-
10款API安全测试工具帮助降低风险
API是现代应用程序架构的核心。然而,由于其重要性以及提供数据和资源访问的能力,它们经常成为攻击者的目标。 A […]
-
如何防止DDoS攻击
分布式拒绝服务(DDoS)攻击,尽管广为人知,但仍然是恶意行为者用来对企业造成财务和声誉损害的常见的方法。 然 […]
-
API安全成熟度模型用于评估API安全态势
随着企业使用的API数量不断增加,保护这些代码位比以往任何时候都更加重要,它们使软件能够通信。为此,团队必须审 […]