我們知道，跨站請求偽造(CSRF)漏洞帶有極大的危害性，CSRF能夠利用Web 應用程序對于經(jīng)認證的連接的信任來干壞事。雖然該漏洞早在1988就被提出了，所以它是一個老問題了，但是之前對該攻擊的報道，大都集中在對在線帳戶的危害方面，所以直至今日，許多人對利用CSRF攻擊本地網(wǎng)設備甚至localhost上的服務這一點仍然一無所知。實際上，在運行Web服務器的本地網(wǎng)上的任何設備都易受CSRF的攻擊，本文將以Motorola/Netopia設備為例加以詳細說明。

Motorola/Netopia 2210 DSL調制調解器是由AT＆T公司于2007年推出的一款產(chǎn)品。 研究發(fā)現(xiàn)，這個設備特別容易受到跨站請求偽造攻擊的影響，所以我們就用它來演示如何通過CSRF攻擊本地網(wǎng)設備?？缯菊埱髠卧炻┒床粌H僅只有Motorola/Netopia DSL調制調解器才有，其他DSL調制調解器也難逃厄運。默認時，大部分DSL調制調解器都沒有要求對配置菜單的訪問進行身份驗證。之所以這樣，是因為一個錯誤的假設，即只有受信任的設備才會出現(xiàn)在本地網(wǎng)絡上。很不幸，這種假設是錯誤的，因為用戶以及他們的瀏覽器都在本地網(wǎng)絡上，但是他們并非總是可信的。人們在web上沖浪時，會有大量的內容展現(xiàn)在他們面前，但是好像從未注意到他們的瀏覽器正在不斷發(fā)送的各種請求，問題就在這里，這些請求可能是用戶想要發(fā)出的，但是也可能是攻擊者挾持用戶的瀏覽器發(fā)出的。

一、調制調解器的跨站請求偽造漏洞

我們之所以利用Motorola/Netopia DSL調制調解器進行演示，不僅因為它采用了一個假想的信任關系，并且允許請求轉換等特性。當本地網(wǎng)上的用戶瀏覽http://192.168.1.254時，他就會看到DSL的配置主頁。在默認的情況下，這根本不需要身份驗證——對攻擊者來說，這太愜意了。

圖1  進入DSL的配置主頁

注意，DSL的配置主頁右方有一個名為“Remote Access”的菜單選項，我們點擊該選項時，將進入下一畫面：

圖2  啟用遠程管理功能

如您所見，默認情況下遠程管理功能是禁用的，然而，好在仍然有一個缺省用戶名、空密碼以及一些其他選項，這些足以啟用永久性遠程管理功能。那還猶豫什么：我們直接單擊“Enable”按鈕，這會向該設備發(fā)送一個POST，這個POST看上去是這樣的：

POST /Forms/remoteRES_1 HTTP/1.0
Host: 192.168.1.254

NSS_RemotePassword=blehblah&NSS_EnableWANAdminAccessRES=on&

timeoutDisable=0&Enable=Enable

這個POST將在該DSL調制調解器的遠程管理功能，將密碼設為blehblah，同時啟用永久性遠程訪問功能?？吹搅税?，這都是不要求身份驗證惹得禍，否則，我們很難做到這些。 因此如果某人精心策劃了一個自動提交的JavaScript表單，那么人們就能夠利用它來提交各種值，并啟用它們自己的密碼。所以，這會使的事情變得更糟。看起來這個DSL調制調解器不僅允許我們轉換各種請求，還能接受各種值。所以，您可以將前面的POST請求轉換成一個GET請求，并得到同樣的效果。這意味著，只要設法讓用戶向下列URL發(fā)送一個請求，我們就能能夠搞定這個調制解調器：

http://192.168.1.254/Forms/remoteRES_1?NSS_RemotePassword=blehblah&
NSS_EnableWANAdminAccessRES=on&timeoutDisable=0&Enable=Enable

如您所見，對用戶來說，情況更加不妙了。只要用戶點擊了該鏈接，就會發(fā)出一個偽造的請求，從而啟用遠程管理功能，并將密碼設為攻擊者選擇的字符串。呵呵，實際上，我們還可以通過多種不同的方式來達此目的，最簡單的一個就是使用HTML的img標簽，并將圖像大小設為1x1像素，這樣，當找不到圖像時，就不會出現(xiàn)小紅x了。

<img src="
alt="" width="1" height="1" />

如果使用這個DSL調制調解器的人訪問了包含上述圖像標簽的頁面，那么攻擊者就能夠遠程管理該DSL調制調解器，并為其設置密碼。事實上，攻擊者所能做的還遠不止這些。 他們可以通過向該DSL調制調解器提交其它的請求來控制該DSL調制調解器的各項功能。并且，這些事情做起來簡單得令人難以置信，所以就不具體介紹了。

二、安全漏洞的影響

請記住，攻擊者已經(jīng)能夠遠程管理您的路由設備。所以，即使您在網(wǎng)絡內部具有一個私人的IP地址，攻擊者仍然能夠訪問您的日志。在直接攻擊目標之前，需要識別目標的內部IP地址，并向這些目標發(fā)送相應的配置，但是這并非難事。基本上，本地網(wǎng)上的機器都能夠得手。

有些靜態(tài)信息對于攻擊者而言是已知的，如用戶名為admin，端口號為2420。只要掃描一下端口號就可以暴露出已被攻陷的機器。此外，攻擊者還可以在頁面上放置兩個img標簽，一個用來設置遠程管理功能，另一個用來記錄訪問該頁面的用戶的的 IP 地址。這樣可以幫助他們縮小潛在的受害者的搜索范圍。

現(xiàn)在，人們能夠在多種不同的熱門地點來放置他們自己的內容，當然社交網(wǎng)絡首當其沖。 例如，這個安全漏洞意味著你的DSL調制調解器可能只是因為瀏覽MySpace就被攻陷——真是太可怕了！ 不久前，人們還討論如何將社交網(wǎng)絡變成一個攻擊平臺，本漏洞正好可以用于此目的。這個攻擊只需要一個請求：即一個HTTP GET。在不許以HTTP GET請求的形式發(fā)送請求的情況下，發(fā)動這種攻擊可能有些困難。雖然我對其原因還不是很確定，但是我打賭摩托羅拉公司目前還不知道他們的小Web服務器所允許這一點——當然，這只是猜測。

三、亡羊補牢

正如您獲悉(或者還不知道的）那樣，現(xiàn)在是修改Linksys無線設備的默認配置的時候了。CSRF漏洞的利用是基于已知的靜態(tài)數(shù)據(jù)的。給DSL調制調解器設置一個口令并修改該設備的默認IP地址是一個良好的開端。設置密碼時，務必選擇一個強壯的密碼。當然，并非決不能在DSL調制調解器上啟用遠程管理功能，但是當您啟用遠程管理功能您知道將會發(fā)生什么事情嗎？您的證書通過web到達您的路由設備時，并沒有采取任何加密保護。如果您好奇心重，不妨親自配置一個Linux防火墻，并只讓你的DSL的IP穿透該設備，并且在該設備上完成對DSL的配置。

我們要汲取教訓，本地網(wǎng)或者本機上一切默認設置、密碼、可預測的位置等等都要加以修改。這樣，將來出現(xiàn)其它漏洞時，您就能更好地保護自己。

四、小結

我們知道，跨站請求偽造(CSRF)漏洞帶有極大的危害性，CSRF能夠利用Web 應用程序對于經(jīng)認證的連接的信任來干壞事。本文詳細介紹了攻擊者是如何利用CSRF攻擊本地網(wǎng)設備的，同時介紹了該漏洞的影響，最后我們?yōu)樽x者介紹了其防御方法。