您的D-Link和Comba无线调制解调器可能会泄露您的密码，这是您可以做的。

看一下专门讨论漏洞的文章中的评论，你会发现人们常常会被一些安全漏洞引起的注意力所困扰。实际上，在许多情况下，利用这些漏洞非常困难，以至于研究人员提出的攻击情景听起来并不是特别合理。

以Trustwave研究人员在D-Link和Comba路由器中发现的凭证泄漏漏洞为例。缺陷肯定存在，但它们需要网络访问或网络配置，使您的路由器的基于Web的管理系统可以从任何地方访问。即使满足其中一个要求，自动化攻击并立即击中许多人也不容易，这意味着除非您是一个备受瞩目的目标，否则很少有攻击者会愿意利用这些特定的安全漏洞。话虽如此，但无论如何难以利用，都不应忽视任何安全漏洞。应始终认真对待研究人员的报告，并且必须谨慎和透明地处理漏洞。不幸的是，在这种特殊情况下，供应商的反应确实让安全专家感到有些失望。

您的无线调制解调器如何泄露您的密码

这些漏洞都涉及无线路由器的基于Web的管理系统。在D-Link的DSL-2875AL的情况下，研究人员能够下载存储设备登录凭证的配置文件。用户名和密码以纯文本形式提供，文件可以下载而无需任何形式的身份验证。

DSL-2875AL以及另一个D-Link型号DSL-2877AL带来了另一个漏洞。用户用于连接到其ISP的用户名和密码存储在“index.asp”文档的源代码中，该文档在路由器的IP输入浏览器的地址栏时出现。攻击者再一次不需要身份验证来获取敏感信息。他们只需要知道在哪里看。

研究人员在Comba的路由器中发现的缺陷非常相似。 Trustwave意识到，对使用Comba AC2400 Wi-Fi访问控制器设置的网络上的特定URL的未经身份验证的请求将允许他们访问将用户名和密码存储为MD5哈希值的配置文件。

在Comba的AP2600-I模型中，他们发现不是一种，而是两种窃取登录数据的方法。另一个未经身份验证的请求将导致下载SQLite数据库，该数据库以纯文本格式存储用户名和密码。 MD5哈希表单中的相同登录凭据也可以在登录页面的源代码中找到。

供应商不会对漏洞做出反应

一旦Trustwave发现漏洞，他们就联系了D-Link和Comba。可以公平地说，供应商的反应并不完全堪称典范。

Comba完全无视这些报道，并且没有说明这个问题。他们的路由器仍然容易受到上述攻击的攻击，如果你使用它们，你需要牢记这一点. 要最大限度地降低威胁，请确保正确配置网络，并且只运行所需的服务。

D-Link确实回应了Trustwave的报道，但不是一个快速有效的解决方案，整个事情都陷入了一场闹剧。在公开披露漏洞之前，Trustwave最初为D-Link提供了90天的时间表。然而，有一次，路由器制造商告诉研究人员，研发部门无法在截止日期之前解决问题。 Trustwave表现出一些理解，并提供了“漫长的延伸”，但在此期间，D-Link只是停止与研究人员沟通。

然而，在Trustwave发布其调查结果的前几天，D-Link写道，用户可以通过下载DSL-2875AL和DSL-2877AL固件的更新版本来修补漏洞。

在iTnews.com.au 撰写有关漏洞的文章后，D-Link发言人表示，这些漏洞在2016年被修补，而且Trustwave的研究人员发现它们只是因为他们测试的设备是在旧固件上运行的。然后研究人员正确地问为什么在披露他们的研究结果后他们没有立即被告知这一切。

很高兴听到漏洞已被修补，使用D-Link路由器的人必须确保他们已将固件更新到最新版本。然而，公司对报告的回应方式仍远未完美。至于Comba的反应（或缺乏反应），我们将让您得出自己的结论。