OWASP物联网固件分析项目
幫忙多點(diǎn)點(diǎn)文章末右下角的“好看”支持下,也可以將本文分享到朋友圈或你身邊的朋友,謝謝
原文:https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=Firmware_Analysis
物聯(lián)網(wǎng)設(shè)備固件安全分析項(xiàng)目譯文
概述
固件分析項(xiàng)目旨在為物聯(lián)網(wǎng)Attack Surface“設(shè)備固件”提供安全測(cè)試指導(dǎo):
| 設(shè)備固件漏洞 | - 過期的核心組件 - 無技術(shù)支持的核心組件 - 過期和/或自簽名證書 - 在多個(gè)設(shè)備使用相同的證書 - 管理web界面漏洞 - 硬編碼或易于猜測(cè)的憑據(jù) - 敏感信息暴露 - 敏感URL信息暴露 - 加密密鑰暴露 |
| 建議 | - 確保開發(fā)人員能夠使用并支持升級(jí)至最新軟件 - 確保設(shè)備具備健壯性的更新機(jī)制 - 確保開發(fā)人員使用有技術(shù)處支持的、最新的軟件 - 開發(fā)一種機(jī)制,確保在舊證書過期時(shí)安裝新證書 - 禁用舊的SSL版本 - 確保開發(fā)人員不使用那些易于猜測(cè)或通用的密碼 - 確保SSH等服務(wù)具有安全的密碼 - 開發(fā)一種機(jī)制,要求用戶在初始設(shè)備設(shè)置期間創(chuàng)建安全的管理密碼 - 確保開發(fā)人員不會(huì)硬編碼密碼或hash - 在將設(shè)備部署至生產(chǎn)環(huán)境之前,確保源碼經(jīng)過第三方審查 - 確保使用行業(yè)標(biāo)準(zhǔn)加密或強(qiáng)hash |
| 設(shè)備固件指導(dǎo)和說明 | - 固件文件分析 - 固件提取 - 動(dòng)態(tài)二進(jìn)制分析 - 靜態(tài)二進(jìn)制分析 - 靜態(tài)代碼分析 - 固件仿真 - 文件系統(tǒng)分析 |
| 設(shè)備固件工具 | - ?Firmwalker -?Firmware Modification Kit -?Angr binary analysis framework -?Binwalk firmware analysis tool -?Binary Analysis Tool -?Firmadyne |
| 固件靶機(jī) | - Damn Vulnerable Router Firmware |
? ? ? ? 掃一掃加我微信,入群一起討論交流各種開源測(cè)試技術(shù)、工具、經(jīng)驗(yàn)和解決方案。
掃一掃,加入答疑專用知識(shí)星球:66¥/年
大數(shù)據(jù)測(cè)試過程、策略及挑戰(zhàn)
大數(shù)據(jù)測(cè)試之ETL測(cè)試入門
軟件測(cè)試工程師又一大挑戰(zhàn):大數(shù)據(jù)測(cè)試
jmeter入門系列v1.0電子版
Python3接口測(cè)試pdf+源碼免費(fèi)領(lǐng)
快學(xué)Python3系列
順手點(diǎn)點(diǎn)點(diǎn)右下角的"好看"
總結(jié)
以上是生活随笔為你收集整理的OWASP物联网固件分析项目的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: revit2019 导出obj_Revi
- 下一篇: 一个半成小作品-短信伪造