#IOT TOP 10 漏洞

最新推荐文章于 2023-11-30 00:15:00 发布
最新推荐文章于 2023-11-30 00:15:00 发布
阅读量616 收藏
点赞数
分类专栏: IOT安全
原文链接:https://payatu.com/iot-security-part-3-101-iot-top-ten-vulnerabilities
版权

1、硬编码敏感信息

在开发过程中,敏感信息作为静态数据被硬编码到固件/移动APP中
常见的敏感信息被硬编码的情况如下:

1)凭证

用于硬件服务或云服务

2)加密密钥

私钥、对称加密公钥

3)证书

客户端证书

4)API密钥

私密/付费API

5)URLs

与开发、固件相关

6)配置

2、使能的硬件DEBUG端口

通常为PCB板上的输出针脚,与芯片相连,用于与系统交互
安全性与使用的通信协议相关
UART协议有使用高层应用的权限,如命令行、日志导出等
JTAG、SWD协议为底层交互,可以直接控制处理器,读写内存等

3、不安全的固件

并非指代固件的代码漏洞,通常指固件的管理漏洞
与固件的存储和更新机制有关

常见问题

1、固件以明文方式存储在内存中
2、固件没有签名
3、引导程序没有验证固件完整性的环节
4、固件更新从云端通过明文传输方式进行
5、固件更新通过明文传输协议进行(http)
6、所有设备实例使用同样的对称密钥,进行固件加密
7、固件加密密钥随同更新过程一起传输
实施PKI机制可以保障最佳的安全,但是大部分现场资源受限设备不具备部署条件
其他类型的漏洞可能会导致密钥泄漏,及时使用了PKI保障了更新安全也没有用

4、不安全的数据存储

常见问题

  1. 敏感数据以明文方式存储
  2. 敏感数据加密存储,但是密匙可被外部访问到
  3. 自定义加密方式
  4. 没有对数据修改权限的访问控制
  5. 不安全的移动app数据存储

5、不完备的身份验证

不正确的或者没有身份验证机制

常见问题

  1. 没有客户端身份验证
  2. 通过明文通信进行身份验证
  3. 凭据的加密方式不正确
  4. 可预测的凭据
  5. 使用默认凭据

6、不安全的通信

可被嗅探、分析、转发、敏感信息提取的通信都是不安全的
厂商为了方便生产,通常IOT设备都没有考虑安全机制

常见问题

  1. 分析敏感信息时不加密的通信
  2. 自定义加密方式
  3. 使用自定义/私有协议
  4. 不正确的加密
  5. 使用协议的默认安全模式
  6. 使用有已知缺陷的协议
  7. 转发相关的问题

7、不安全的配置

出于开发简便的考虑,开发者会使用简单不安全的配置,或者出厂后无法修改的安全配置

常见问题

  1. 使用默认的不安全配置
  2. 不允许集成商/用户修改安全配置
  3. 不安全的底层协议和硬件配置
  4. 不安全的加密模式和设置
  5. 用户个人数据共享/存储情况的低可见性

8、不完备的数据输入过滤

将会是IOT的主要安全问题
遥测数据的可信度问题,可能会导致常见的web安全问题,如SQL诸如、XSS、远程代码执行等等
需要有针对传统技术的数据过滤机制

9、不安全的移动端接口

移动端的安全技术比IOT设备端的要成熟很多
但同样会造成严重的安全问题
==OWASP Mobile Top Ten vulnerabilities ==

10、不安全的云/WEB接口

OWASP Web Top Ten vulnerabilities
Cloud security alliance

xqds老员工
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
物联网安全漏洞有哪些
中琛物联
10-26 1880
  物联网(IoT)技术无处不在,如果没有适当的安全保护措施,它们将很容易受到敏感数据泄漏的影响。从制造商到商业用户再到消费者,每个人都担心网络犯罪分子会侵入其物联网设备和系统。那么,在设计、部署或运行物联网设备时,需要考虑的最关键问题是什么?   以下是目前面临的10大物联网安全漏洞:   1、弱、可猜测或硬编码密码   弱密码是简短的、简单的、系统默认的,或者可以通过使用一系列可能的密码列表(如字典中的单词、熟悉的名称等)执行暴力攻击而很快就能猜到的东西。   2、不安全的网络服务   设备上
IOT漏洞
good good study
03-08 4044
IOT的安全问题
IOT设备漏洞分析
ztK63LrD的博客
09-29 3550
申明:本文章所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本文及作者无关,请谨记守法.设备名称: DLINK DIR-818l固件包: d-link DIR818L_FW105b01 A1环境搭建: 使用firmAE。
OWASP IoT Top 10 发布,来看看物联网安全的十大坑
weixin_34303897的博客
02-01 510
“OWASP 物联网项目”始于2014年,旨在帮助开发人员、制造商、企业和消费者在创建和使用物联网系统时做出更好的决策。2018年发布的 OWASP IoT Top 10,说明了在构建、部署或管理物联网系统时应该规避的十大问题。具体如下: (1) 弱密码、可猜测密码或硬编码密码 使用轻易可遭暴力破解的、可公开获取的或无法更改的凭证,包括固件或客户端软件中允许对已部署系统进行未经授权访问的后门。 (...
IoT 0 day漏洞启示
systemino的博客
04-24 680
有效的恶意软件常使用已知或者未知的漏洞来完成其主要功能。本文中介绍McAfee ATR提交的一个漏洞,并介绍一款利用多个相似漏洞的恶意软件。 McAfee ATR安全研究人员2018年5月21日就向Belkin提交了Belkin WeMo Insight智能插座中一个重要的远程代码执行漏洞,还提供了PoC和利用代码以及demo视频。厂商回应称已经准备好了补丁,会及时修复。但是截止8月21日厂商仍...
kubetools:Kubetools-Kubernetes工具的精选列表
02-04
3. **物联网 (IoT) 集成**: Kubernetes 可以通过特定的 IoT 控制器和适配器,如 KubeEdge,将 IoT 设备连接到集群,实现设备管理和数据处理。 4. **监控与日志**: Prometheus 是一个流行的时序数据库和监控系统,它...
2022年实网攻防演练蓝队防守指南-安芯网盾.pdf
07-09
- TOP3可能是指物联网(IoT)设备的漏洞利用,因其广泛存在且安全防护较弱。 - TOP4 AD(Active Directory)问题,可能指的是AD域控制器的漏洞被利用,影响企业内部网络的稳定性。 - TOP5 0day/nday漏洞利用,0...
2021年“绿城杯”网络安全大赛
09-30
5. **Web安全**:考察参赛者对于Web应用程序的安全性,如识别并修复OWASP Top 10中的常见安全问题,如CSRF(跨站请求伪造)和LFI(本地文件包含)等。 6. **取证分析**:模拟真实世界的情景,参赛者需要收集和分析...
SOR-2016-167 Carriages and Strollers Regulations.pdf
09-02
5. **移动应用安全**:与婴儿车配套的手机应用应遵循安全开发原则,如OWASP Mobile Top 10,以防止恶意攻击和数据泄漏。 6. **供应链安全**:IT安全不仅限于最终产品,还包括供应链管理,确保所有组件和原材料的...
security-stuff:一个简短的写作和笔记的小家,支持我迄今为止取得的进步
04-18
5. **应用安全**:探讨Web应用的安全性,包括OWASP Top 10中的常见漏洞及预防措施。 6. **移动安全**:关注智能手机和平板电脑的安全问题,如应用安全审核、数据保护和隐私保护。 7. **物联网安全**:随着IoT的...
IOT漏洞记录查找
半岛铁盒的博客
12-23 249
查找方法 过于漏洞记录的网站国内外有很多,我只介绍下面两个: 一: 利用cve list查询已经发布的漏洞: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=camera **二:**利用exploit database查询,在我看来,exploit database的数据更将丰富清晰,但是漏洞库相比较少。 https://www.exploit-db.com/exploits ...
IoT漏洞产生的原因
weixin_42100211的博客
12-22 632
1.资源缺乏 IoT设备的资源相对传统信息系统是缺乏的。传统安全防护手段难以实施。 (有点像台式机内存2g那时候,也不怎么讲安全,连跑360都卡。) 2.强异构 缺乏统一标准,厂商水平参差不齐。协议复杂,协议众多。 IoT还年轻,商用市场还不成熟,盈利能力相对较弱,对安全的重视自然也就不足了。只有安全问题相对其它问题是大问题的时候,往往厂商才会着手解决安全问题。 ...
这个严重的无补丁 UPnP 漏洞影响几乎所有的IoT设备:绕过安全系统、扫描LANs
smellycat000的专栏
06-09 2267
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队几乎所有的物联网设备的核心协议中都存在一个严重漏洞。该漏洞被称为 “CallStranger”,可导致攻击者劫持智能设备发动...
某60物联网安全之IoT漏洞利用实操2学习记录
最新发布
weixin_51387754的博客
11-30 1644
IoT漏洞分析与利用》课程基于IoT进行基础知识讲解与漏洞利用分析展开介绍,并结合IoT漏洞进行挖掘与利用,结合实例操作进行分析讲解。 通过学习本课程,使学员掌握IoT基础知识与漏洞挖掘利用,同时具备以下能力: 掌握IoT常见漏洞模式; 掌握IoT主流调试方法; 掌握IoT固件分析与漏洞挖掘实操。
OWASP Top10 2020
热门推荐
yxiangfei的博客
10-25 1万+
OWASP Top 10 2020什么是OWASP漏洞简介1. Top1-注入2.失效身份验证和会话管理3.敏感信息泄露4.XML外部实体注入攻击(XXE)5.失效访问控制6.安全性错误配置7.Cross-Site-Scripting(XSS)8.不安全的反序列化9.使用具有已知漏洞的组件10.日志记录和监控不足 什么是OWASP 之前主要是做二进制,最近找工作的时候看到很多公司要求掌握WEB漏洞,所以简单地学习一下。OWASP(Open Web Application Security Project)是
2022CTF培训(十)IOT 相关 CVE 漏洞分析
sky123博客
12-31 1957
这里选择的设备是一款家用路由器,型号为 D-Link DIR-850L(EOL)。由于该款路由器已停产,官网无法下载到固件,不过目前这个还能下载到相关的固件,当然附件中也会提供需要分析的固件。
物联网漏洞分类总结
Chary的Blog
07-12 3843
一、物联网漏洞分类 二、造成漏洞的原因 1 不安全的Web接口 一般情况下,攻击者首先会在智能设备的Web接口中寻找XSS、CSRF和SQLi漏洞。此外,这些接口中还经常出现“默认用户名和密码”和“缺乏帐户锁定机制”之类的漏洞。 设备类型 设备名称 CWE 安全影响 Heatmiser恒温器 CWE-598:通过GET请求中的查询字符串泄露信息 攻击者可以访问设备的所有设置,进而根据攻击者的意愿来随意更改各种设置,例如时间或温度。 工业无线接入点Moxa AP CWE-79:网页生成过程中没有对输入进行严
物联网安全性测试和常见漏洞
weixin_56863624的博客
04-12 625
物联网安全测试是评估云连接设备和网络以揭示安全漏洞并防止设备被第三方黑客入侵和破坏的做法。最大的物联网安全风险和挑战可以通过针对最关键的物联网漏洞的集中方法来解决。
IoT 移动应用漏洞利用
weixin_39368882的博客
03-06 661
IoT 移动应用漏洞利用(文末附《物联网渗透测试》下载链接) 导师某天又丢了一个整理好框架的 PPT,道“框架我已经帮你做好啦,你只需要实现每部分内容即可”,好吧接下去边查边做。 文章目录IoT 移动应用漏洞利用(文末附《物联网渗透测试》下载链接)前言一、简介二、获取 IoT 移动应用三、反编译 Android 应用1.引入库2.读入数据四、基于 MobSF 框架的静态分析五、Android 数据存储分析总结下载链接 前言 对于消费级以及部分商用 loT设备来说,通常都会提供与设备配套的移动应用来
Windows 10 IoT Core入门指南
" Beginning Windows 10 IoT Core.pdf 是一本专为初学者设计的指南,旨在介绍如何在Raspberry Pi 2上启动和操作Windows 10 IoT(物联网)核心版。作者Alison Watson通过Suntimebox Publishing出版此书,强调了书中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值