帮忙多点点文章末右下角的“好看”支持下,也可以将本文分享到朋友圈或你身边的朋友,谢谢
原文:https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=Firmware_Analysis
物联网设备固件安全分析项目译文
概述
固件分析项目旨在为物联网Attack Surface“设备固件”提供安全测试指导:
| 分类 | |
|---|---|
| 设备固件漏洞 | - 过期的核心组件 - 无技术支持的核心组件 - 过期和/或自签名证书 - 在多个设备使用相同的证书 - 管理web界面漏洞 - 硬编码或易于猜测的凭据 - 敏感信息暴露 - 敏感URL信息暴露 - 加密密钥暴露 |
| 建议 | - 确保开发人员能够使用并支持升级至最新软件 - 确保设备具备健壮性的更新机制 - 确保开发人员使用有技术处支持的、最新的软件 - 开发一种机制,确保在旧证书过期时安装新证书 - 禁用旧的SSL版本 - 确保开发人员不使用那些易于猜测或通用的密码 - 确保SSH等服务具有安全的密码 - 开发一种机制,要求用户在初始设备设置期间创建安全的管理密码 - 确保开发人员不会硬编码密码或hash - 在将设备部署至生产环境之前,确保源码经过第三方审查 - 确保使用行业标准加密或强hash |
| 设备固件指导和说明 | - 固件文件分析 - 固件提取 - 动态二进制分析 - 静态二进制分析 - 静态代码分析 - 固件仿真 - 文件系统分析 |
| 设备固件工具 | - Firmwalker - Firmware Modification Kit - Angr binary analysis framework - Binwalk firmware analysis tool - Binary Analysis Tool - Firmadyne |
| 固件靶机 | - Damn Vulnerable Router Firmware |
扫一扫加我微信,入群一起讨论交流各种开源测试技术、工具、经验和解决方案。
扫一扫,加入答疑专用知识星球:66¥/年
顺手点点点右下角的"好看"
联系客服
