Indulhat a következő teherhajó szállítmány lerakni ezt a tplink hulladékot afrika partjainál. Ugyebár 2-3 éves szarjaikra sincs fw update. Az h. egyik másik szappantartójuk V13 hardware rev.-nél jár, mutatja az egész cég hozzáállását a témához: amint kihozatal után eltelt fél év, ugrasszuk a counter-t +1-el, oszt akkor a régi rev.-re már nem kell sw-t kiadni. Ja, az új rev abban különbözik a régitől, h. a rev number 1-el nagyobb lett, és a sw upgrade nézi a nemegyezést. Problem solved.
"The protection mechanism that is in place against CSRF checks if the
given "referer" header starts with "192.168.0.1". If it does, the
request is accepted.
An attacker can bypass this mechanism by prepending their domain with
this string. For example, the malicious HTML and JavaScript code could
be hosted at "192.168.0.1.example.com"
Ez jó nagy darvindíjas hülye lehetett, én nem programozásból keresem a kenyerem, de ha erre regexp-et írnék, azt lezárnám a végén, pont az ilyesmi gazemberek ellen.
"The ping and traceroute functionalities accept user input and insert it
into a command without sanitation. An attacker can for example insert
further commands via a semicolon."
Ez meg iskolapélda Droptables Bob esetére:
https://www.xkcd.com/327/
--