華為E960路由器允許通過(guò)其Web接口發(fā)送和接收短信，但在收件箱視圖中未經(jīng)轉(zhuǎn)義便顯示了每條短信的前32個(gè)字符，因此遠(yuǎn)程攻擊者可以通過(guò)發(fā)送惡意的短信消息執(zhí)行跨站腳本攻擊。

　　受影響系統(tǒng)：

　　Huawei E960 HSDPA Router 246.11.04.11.110sp04

　　BUGTRAQ ID：33866

　　華為E960是一款小型的雙模無(wú)線網(wǎng)關(guān)和USB調(diào)制解調(diào)器。

　　華為E960路由器允許通過(guò)其Web接口發(fā)送和接收短信，但在收件箱視圖中未經(jīng)轉(zhuǎn)義便顯示了每條短信的前32個(gè)字符，因此遠(yuǎn)程攻擊者可以通過(guò)發(fā)送惡意的短信消息執(zhí)行跨站腳本攻擊。此外，攻擊者還可以通過(guò)發(fā)送多條短信繞過(guò)32個(gè)字符的限制，通過(guò)注入t評(píng)注合并多條消息。

　　在遭受攻擊后，無(wú)法使用收件箱頁(yè)面刪除所接收到的短信，因?yàn)閯h除鍵不再有效。必須使用用戶名admin和口令admintelnet到路由器才能移動(dòng)短信。華為E960使用busyboxshell，因此可使用標(biāo)準(zhǔn)的rm命令來(lái)移動(dòng)短信(位于/tmp/sms/inbox_sms)，之后才可以從收件箱頁(yè)面刪除。

　　測(cè)試方法：

　　警告：以下程序(方法)可能帶有攻擊性，僅供安全研究與教學(xué)之用。使用者風(fēng)險(xiǎn)自負(fù)!

　　第一條以/*結(jié)束的短信標(biāo)注第二條消息之前的所有HTML代碼：

　　請(qǐng)注意最新的消息是最先顯示的，因此必須倒序發(fā)送短信。

　　廠商補(bǔ)?。?/STRONG>

　　目前華為還沒(méi)有提供補(bǔ)丁或者升級(jí)程序，我們建議使用此軟件的用戶隨時(shí)關(guān)注廠商的主頁(yè)以獲取最新版本：

　　http://www.huawei.com/