作者:与子同袍
首发:物联网前沿技术观察
今天介绍的是OWASP组织的一个关于物联网安全的子项目:IoT攻击面区域项目。
这个项目列出了物联网领域的各类攻击面。
为了能更好的防御对物联网设备和物联网云平台的攻击,我们需要了解有哪些攻击面。
哪些人需要了解这些攻击面:
- 物联网设备厂商
- 物联网开发人员
- 安全研究员
- 需要部署或实现物联网技术的组织
1.生态系统访问控制
- 组件之间默认信任
- 注册安全
- 停用系统
- 访问丢失流程
- 设备内存
- 明文用户名
- 明文密码
- 第三方密码
- 密钥
2.设备物理接口
- 固件提取
- 用户命令行接口
- 管理命令行接口
- 权限提升
- 重置到不安全的状态
- 删除存储介质上信息
3.设备Web界面
- SQL注入攻击
- 跨站脚本攻击
- 跨站请求伪造
- 用户名枚举攻击
- 弱密码
- 账号锁定
- 默认账号密码
4.设备固件
- 硬编码的账号密码
- 暴露敏感信息
- 暴露敏感URL
- 密钥暴露
- 显示固件版本信息,显示固件最后更新日期
5.设备网络服务
- 披露信息
- 用户命令行接口
- 管理命令行接口
- 注入攻击
- 拒绝服务攻击
- 服务未加密
- 加密实现不好
- 缓冲区溢出
- UPnP
- 有漏洞的UDP服务
6.管理接口
- SQL注入
- 跨站脚本攻击
- 跨站请求伪造
- 用户名枚举攻击
- 弱密码
- 账号锁定
- 默认账号密码
- 安全/加密可选项
- 日志选项
- 缺乏双因子认证
- 无法清掉设备上的用户数据
7.本地数据存储
- 数据未加密
- 用能被找到的密钥加密数据
- 缺乏数据完整性检查
8.云端Web界面
- SQL注入
- 跨站脚本攻击
- 跨站请求伪造
- 用户名枚举攻击
- 弱密码
- 账号锁定
- 默认账号密码
- 传输未加密
- 不安全的密码恢复机制
- 没有双因子认证
9.第三方后台API接口
- 个人识别信息未加密
- 泄露设备信息
- 设备位置信息泄露
10.更新机制
- 软件更新包传输时未加密
- 软件更新包未签名
- 软件更新没有验证
- 恶意软件更新
- 缺乏手工更新机制
11.移动应用
- 默认信任设备或云
- 用户名枚举攻击
- 账号锁定
- 存在默认账号密码
- 弱口令
- 数据存储不安全
- 传输未加密
- 不安全的密码恢复机制
- 无双因子认证
12.厂商后台API接口
- 默认信任设备或云
- 弱验证
- 弱访问控制
- 注入攻击
13.生态系统通信
- 健康检查
- 心跳
- 生态系统的命令
- 销毁账号
- 推送更新
14.网络流量
- 局域网
- 局域网到互联网
- 短距离
- 非标准
- 无线(WiFi, Z-wave, XBee, Zigbee, Bluetooth, LoRA)
15.认证和授权
- 泄露认证和授权相关的session key, token, cookie
- 重复使用session key, token
- 缺乏设备到设备的认证
- 缺乏设备到移动应用的认证
- 缺乏设备到云端的认证
- 缺乏移动应用到云端的认证
- 缺乏web应用到云端的认证
- 缺乏动态认证
16.隐私
- 泄露用户数据
- 泄露用户或设备的位置信息
- 差分隐私攻击
17.硬件
- 篡改
- 物理破坏
往期精彩:
更多物联网,边缘计算相关技术干货请关注我的专栏物联网前沿技术观察
