為了阻擋惡意攻擊者，路由器廠商D-Link最近為其產(chǎn)品增加了一個(gè)CAPTCHA設(shè)計(jì)。不過一名黑客在SourceSec Security Research博客上發(fā)文稱，該升級(jí)可以被利用來實(shí)現(xiàn)竊取一個(gè)WPA密碼。

　　原因是新固件使用一個(gè)GET請(qǐng)求來登錄，該請(qǐng)求包含一個(gè)經(jīng)過MD5哈希處理的密碼。結(jié)果證明，通過該功能，無線路由器覆蓋范圍內(nèi)的任何人可以輕松的訪問由所有敏感設(shè)置組成、包含WPA密碼的設(shè)置頁面。

　　而且，新固件甚至允許普通用戶登陸到控制頁面上，因此攻擊者不需要具有管理權(quán)限就能發(fā)起攻擊。

　　當(dāng)D-Link在其部分路由器產(chǎn)品上增加CAPTCHA設(shè)計(jì)時(shí)，有安全專家就質(zhì)疑其實(shí)用性，認(rèn)為其效果還不如用戶花費(fèi)30秒時(shí)間來修改路由器的默認(rèn)密碼更有效。