Estoy estudiando Seguridad de la Información y estaba hurgando en el enrutador de mi casa (es barato) con una secuencia de comandos de Python que intenta forzar la contraseña de administrador de la interfaz web (utiliza HTTP básico y el servidor es micro_httpd). / p>
Descubrí que al pasar el encabezado de autenticación con la solicitud inicial pude eludir la función de limitación de velocidad en el enrutador y golpearla con 10k / min. No hay problema, pero al final obtuve la contraseña.
¿Esto suena como una vulnerabilidad genuina que vale la pena un informe o que se espera de este dispositivo de nivel?
Es el tipo de enrutador que podría estar en uso en los puntos de acceso de los cafés y similares, por lo que podría ver fácilmente cómo podría explotarse si las personas usan una contraseña razonablemente débil para la interfaz de administración.