面向智能路由器远程管理应用的漏洞检测工具

• 全文链接
• 请求原文

作   者：

李明琪;  张磊;  杨哲慜; 

作者机构：

复旦大学软件学院; 

关键词：

安全检测;  安卓应用软件;  智能路由器;  远程管理; 

期刊名称：

计算机应用与软件

基金项目：

移动恶意软件规避检测行为的机理与检测方法研究
移动网络与终端设备的漏洞分析及对抗技术
多层次软件架构的漏洞感知及防利用技术研究

i s s n：

1000-386X

年卷期：

2020 年 37 卷 07 期

页   码：

266-274

摘   要：

智能路由器为了方便用户对其进行管理,通常都提供了具有远程管理功能的移动应用软件。这类应用软件在提供便捷强大功能的同时,也引入了未授权发送控制指令和控制指令可重放等多种安全漏洞。为了检测这类应用软件中的安全漏洞,设计并实现面向智能路由器远程管理应用软件的安全漏洞检测工具。通过权限校验分析和参数一致性分析,检测应用软件中存在的缺失对使用者的权限校验以及在发送控制指令时缺失保护字段的两类安全漏洞。利用该检测工具对TP-Link、华为、D-Link和NETGEAR智能路由器的远程管理应用软件进行检测,发现其中存在的多处安全漏洞,包括泄露路由器本地管理的用户名和密码以及未授权使用插件功能等。