以下是从此网页截图中获取到的关键漏洞信息: 关键信息 漏洞名称: D-Link DSL-2730U Wireless N 150 - Cross-Site Request Forgery EDB-ID: 41478 CVE: 2017-6411 作者: B GOVIND 类型: WEBAPPS 平台: HARDWARE 日期: 2017-03-01 受影响的设备: D-Link DSL-2730U Wireless N 150 受影响的版本: Hardware ver C1, Firmware ver: IN_1.0.0 漏洞详情 1. 描述: - 通过CSRF漏洞,攻击者可以在不使用admin权限的情况下修改设备的DNS配置和其他设置,如密码和LAN侧防火墙的启停。 2. 概念验证 (PoC): - 提供了多个URL示例,展示了如何在没有admin权限的情况下修改DNS配置、密码和LAN侧防火墙设置,如: - 修改DNS配置: - 修改密码: - 启停LAN侧防火墙: 3. 影响: - 信息泄露: 攻击者可以获取用户浏览记录等敏感信息。 - 修改DNS设置: 攻击者可以将用户流量重定向至恶意网站,实施钓鱼等攻击。 - 提权: 攻击者可以修改设备密码,获取对设备的高权限控制。 4. 解决方案: - 由于没有可用的更新固件版本,建议用户更改设备的所有默认密码,包括admin、support和user账户的密码。