OWASP物联网固件分析项目
幫忙多點點文章末右下角的“好看”支持下,也可以將本文分享到朋友圈或你身邊的朋友,謝謝
原文:https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=Firmware_Analysis
物聯網設備固件安全分析項目譯文
概述
固件分析項目旨在為物聯網Attack Surface“設備固件”提供安全測試指導:
| 設備固件漏洞 | - 過期的核心組件 - 無技術支持的核心組件 - 過期和/或自簽名證書 - 在多個設備使用相同的證書 - 管理web界面漏洞 - 硬編碼或易于猜測的憑據 - 敏感信息暴露 - 敏感URL信息暴露 - 加密密鑰暴露 |
| 建議 | - 確保開發人員能夠使用并支持升級至最新軟件 - 確保設備具備健壯性的更新機制 - 確保開發人員使用有技術處支持的、最新的軟件 - 開發一種機制,確保在舊證書過期時安裝新證書 - 禁用舊的SSL版本 - 確保開發人員不使用那些易于猜測或通用的密碼 - 確保SSH等服務具有安全的密碼 - 開發一種機制,要求用戶在初始設備設置期間創建安全的管理密碼 - 確保開發人員不會硬編碼密碼或hash - 在將設備部署至生產環境之前,確保源碼經過第三方審查 - 確保使用行業標準加密或強hash |
| 設備固件指導和說明 | - 固件文件分析 - 固件提取 - 動態二進制分析 - 靜態二進制分析 - 靜態代碼分析 - 固件仿真 - 文件系統分析 |
| 設備固件工具 | - ?Firmwalker -?Firmware Modification Kit -?Angr binary analysis framework -?Binwalk firmware analysis tool -?Binary Analysis Tool -?Firmadyne |
| 固件靶機 | - Damn Vulnerable Router Firmware |
? ? ? ? 掃一掃加我微信,入群一起討論交流各種開源測試技術、工具、經驗和解決方案。
掃一掃,加入答疑專用知識星球:66¥/年
大數據測試過程、策略及挑戰
大數據測試之ETL測試入門
軟件測試工程師又一大挑戰:大數據測試
jmeter入門系列v1.0電子版
Python3接口測試pdf+源碼免費領
快學Python3系列
順手點點點右下角的"好看"
總結
以上是生活随笔為你收集整理的OWASP物联网固件分析项目的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: revit2019 导出obj_Revi
- 下一篇: 一个半成小作品-短信伪造