今天给大家介绍的是OWASP的物联网安全测试指南(https://www.owasp.org/index.php/IoT\_Testing\_Guides)。
指南内容:安全检查清单,用于评估物联网设备和物联网应用程序的安全性。
适合读者:物联网设备或物联网应用软件的测试人员。物联网硬件和软件设计开发人员也有必要读这个指南,并且遵循这个指南进行设计开发。
用 途:这个指南不是一个覆盖全面的安全检查清单。但是做到这个清单上的这些基础安全事项,就已经能够极大地提高任何物联网产品的安全性。不遵循这里面的安全指南的惨痛例子,可以见iot hall of shame搜集的大量有安全漏洞的物联网设备的例子。
https://codecurmudgeon.com/wp/iot-hall-shame/codecurmudgeon.com
作者:与子同袍
首发:物联网前沿技术观察
OWASP物联网安全测试指南
一、Web界面安全性
- 测试 Web 界面以确定是否允许弱密码
- 测试帐户锁定机制
- 测试XSS、SQL注入和 CSRF 漏洞和其他 Web 应用程序漏洞
- 测试是否使用 HTTPS 保护传输的信息
- 测试是否能够更改用户名和密码
- 测试是否使用 Web 应用程序防火墙来保护 Web 界面
二、认证/授权安全性
- 评估身份验证时是否使用强密码
- 评估多用户环境的认证和授权机制,并采用了基于角色的权限功能
- 在可能的情况下评估是否采用了多因子验证MFA
- 评估密码恢复机制
- 评估是否强制使用高强度密码
- 评估特定期限后是否强制密码过期
- 评估是否要求用户更改默认用户名和密码
三、网络服务安全性
- 评估解决方案,确保网络服务不会对缓冲区溢出、模糊或拒绝服务攻击做出不良响应
- 评估解决方案,确保测试端口不存在
四、传输安全性
- 确定设备之间以及设备和互联网之间是否采用了加密传输
- 确定是否使用了允许的加密机制,以及是否避免使用专有协议
- 确定防火墙是否可用
五、隐私保护
- 确定收集了哪些个人信息
- 确定在本地和传输过程中是否通过加密对收集的个人数据进行适当保护
- 确定个人数据是否可被删除或匿名化
- 确保最终用户可以选择在设备正常运行所需的数据之外收集数据
六、云端应用界面安全性
- 评估云端接口的安全漏洞(例如 API 接口和基于云的 Web 界面)
- 评估基于云的 Web 界面,确保它不允许使用弱密码
- 评估基于云的 Web 界面,以确保它包含帐户锁定机制
- 评估基于云的 Web 界面,以确定是否使用多因子认证
- 评估任何云接口,是否有XSS、SQL 注入和 CSRF 漏洞和其他漏洞
- 评估所有云接口,以确保使用传输加密
- 评估云接口,以确定是否强制使用高强度密码
- 评估云接口,以确定是否有特定期限后强制密码过期的选项
- 评估云接口,以确定是否支持更改默认用户名和密码
七、移动端安全性
- 评估移动端接口,确保它不允许使用弱密码
- 评估移动端界面,确保它包含帐户锁定机制
- 评估移动端界面,以确定它是否实现了多因子认证(例如 Apple 的触控 ID)
- 评估移动端接口,以确定它是否使用传输加密
- 评估移动端界面,以确定是否强制使用高强度密码
- 评估移动端界面,以确定是否有在特定期限后强制密码过期的选项
- 评估移动端界面,以确定是否支持更改默认用户名和密码
- 评估移动端界面,以确定收集的个人信息
八、配置安全性
- 评估解决方案以确定密码安全选项(例如启用 20 个字符的密码或启用多因子认证)是否可用
- 评估解决方案以确定加密选项(例如,启用 AES-256,其中 AES-128 是默认设置)是否可用
- 评估解决方案以确定是否提供安全事件日志记录
- 评估解决方案,以确定是否向用户提供安全事件警报和通知
九、固件安全性
- 评估设备,确保它包含更新功能,并在发现漏洞时快速更新
- 评估设备,确保它使用加密的更新文件,并确保使用加密传输文件
- 评估设备,确保使用签名文件,然后在安装前验证该文件
十、物理安全性
- 评估设备,确保设备使用设备上最少的物理外部端口(例如 USB 端口)
- 评估设备,确定是否可以通过意外方法(如通过不必要的 USB 端口)访问设备
- 评估设备,确定它是否允许禁用未使用的物理端口,如 USB
- 评估设备,确定它是否将管理功能限制为仅允许本地访问
往期精彩:
更多物联网,边缘计算相关技术干货请关注我的专栏物联网前沿技术观察
申请加入物联网技术研讨大佬微信群,请加微信号:iot1999。
