检索规则说明:AND代表“并且”;OR代表“或者”;NOT代表“不包含”;(注意必须大写,运算符两边需空一格)
检 索 范 例 :范例一: (K=图书馆学 OR K=情报学) AND A=范并思 范例二:J=计算机应用与软件 AND (U=C++ OR U=Basic) NOT M=Visual
名 称:
注 释:
作 者:李明琪 张磊[1] 杨哲慜[1] Li Mingqi;Zhang Lei;Yang Zhemin(Software School,Fudan University,Shanghai 201203,China)
机构地区:[1]复旦大学软件学院,上海201203
出 处:《计算机应用与软件》2020年第7期266-274,共9页Computer Applications and Software
基 金:国家自然科学基金项目(61602121,U1636204,U1736208)。
摘 要:智能路由器为了方便用户对其进行管理,通常都提供了具有远程管理功能的移动应用软件。这类应用软件在提供便捷强大功能的同时,也引入了未授权发送控制指令和控制指令可重放等多种安全漏洞。为了检测这类应用软件中的安全漏洞,设计并实现面向智能路由器远程管理应用软件的安全漏洞检测工具。通过权限校验分析和参数一致性分析,检测应用软件中存在的缺失对使用者的权限校验以及在发送控制指令时缺失保护字段的两类安全漏洞。利用该检测工具对TP-Link、华为、D-Link和NETGEAR智能路由器的远程管理应用软件进行检测,发现其中存在的多处安全漏洞,包括泄露路由器本地管理的用户名和密码以及未授权使用插件功能等。Smart routers usually provide mobile application software with remote management function for users to manage them.This kind of application software not only provides convenient and powerful functions,but also introduces a variety of security vulnerabilities,such as unauthorized transmission of control instructions and replay of control instructions.In order to detect the security vulnerability of this kind of application software,this paper designs and implements a security vulnerability detection tool for remote management applications of smart routers.Through the analysis of permission verification and parameter consistency,this detection tool detected two types of security vulnerabilities in the application software,including the absence of the user s permission verification and the absence of the protection fields when sending control instructions.This paper used this detection tool to detect remote management applications of TP-link,Huawei,D-Link and NETGEAR smart routers.As a result,this paper finds several security vulnerabilities,including leaking user name and password managed locally by the router,and unauthorized use of plug-in functions,etc.
分 类 号:TP311[自动化与计算机技术—计算机软件与理论]
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在链接到云南高校图书馆文献保障联盟下载...
云南高校图书馆联盟文献共享服务平台 版权所有©
您的IP:3.148.165.9