OWASP物联网固件分析项目
帮忙多点点文章末右下角的“好看”支持下,也可以将本文分享到朋友圈或你身边的朋友,谢谢
原文:https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=Firmware_Analysis
物联网设备固件安全分析项目译文
概述
固件分析项目旨在为物联网Attack Surface“设备固件”提供安全测试指导:
| 分类 | |
|---|---|
| 设备固件漏洞 |
- 过期的核心组件 - 无技术支持的核心组件 - 过期和/或自签名证书 - 在多个设备使用相同的证书 - 管理web界面漏洞 - 硬编码或易于猜测的凭据 - 敏感信息暴露 - 敏感URL信息暴露 - 加密密钥暴露 |
| 建议 |
- 确保开发人员能够使用并支持升级至最新软件 - 确保设备具备健壮性的更新机制 - 确保开发人员使用有技术处支持的、最新的软件 - 开发一种机制,确保在旧证书过期时安装新证书 - 禁用旧的SSL版本 - 确保开发人员不使用那些易于猜测或通用的密码 - 确保SSH等服务具有安全的密码 - 开发一种机制,要求用户在初始设备设置期间创建安全的管理密码 - 确保开发人员不会硬编码密码或hash - 在将设备部署至生产环境之前,确保源码经过第三方审查 - 确保使用行业标准加密或强hash |
| 设备固件指导和说明 |
- 固件文件分析 - 固件提取 - 动态二进制分析 - 静态二进制分析 - 静态代码分析 - 固件仿真 - 文件系统分析 |
| 设备固件工具 |
- Firmwalker
- Firmware Modification Kit - Angr binary analysis framework - Binwalk firmware analysis tool - Binary Analysis Tool - Firmadyne |
| 固件靶机 |
- Damn Vulnerable Router Firmware |
扫一扫加我微信,入群一起讨论交流各种开源测试技术、工具、经验和解决方案。
扫一扫,加入答疑专用知识星球:66¥/年
大数据测试过程、策略及挑战
大数据测试之ETL测试入门
软件测试工程师又一大挑战:大数据测试
jmeter入门系列v1.0电子版
Python3接口测试pdf+源码免费领
快学Python3系列
顺手点点点右下角的"好看"
OWASP物联网固件分析项目相关推荐
- 物联网固件逆向分析记录(初步概念记录)
20201206 - 1. 引言 机缘巧合,自己居然有生之年又接触到了这个东西.但是多学点东西也没什么坏处,就当扩宽视野了:不过,以前这种事情,都没有记录,挺可惜的,所以这次记录一下. 关于物联网固件 ...
- 物联网硬件安全分析基础-硬件分析初探
物联网硬件安全分析基础-硬件分析初探 作者:独抒@伏宸安全实验室 前言 当我们在分析IOT设备,如智能摄像头.智能门锁.智能路由器等等产品时,采用传统的安全检测手段,如对APP的逆向.云端服务器的渗透 ...
- FIRM-AFL: 通过增强进程仿真实现物联网固件的高吞吐量灰盒模糊测试
[题目]FIRM-AFL: 通过增强进程仿真实现物联网固件的高吞吐量灰盒模糊测试 [来源]2019 USENIX Security [笔记建立时间]2023-3-30 注:题目中的"增强进程 ...
- 硬件黑客破解之固件分析
注1:本文为"湖南底网安全信息技术有限公司"安全团队原创文章(官网:www.bttmsec.com,聚焦车联网安全/物联网安全/工控安全),转发请注明出处 注2:该文已同步在今日头 ...
- 《用于物联网的Arduino项目开发:实用案例解析》—— 3.4 小结
本节书摘来自华章出版社<用于物联网的Arduino项目开发:实用案例解析>一 书中的第3章,第3.4节,作者[美]安德尔·杰韦德(Adeel Javed),更多章节内容可以访问云栖社区&q ...
- 固件分析工具Binwalk
固件分析工具Binwalk 固件是保存在嵌入式设备存储器的程序.它负责设备运行和功能,如路由器等设备.通过分析固件文件,可以了解设备的工作方式,并且确认是否存在漏洞.Binwalk是Kali Linu ...
- 舆情分析项目-重庆公交坠江原因
舆情分析项目 1.分析事件:重庆公交坠江原因 2.分析对象: (1)网友评论(初级分类-分词匹配:高级分类-自然语言识别,映射人类情感和意图,比如:积极.消极.无奈.讽刺.建设.谩骂.理性分析.事后. ...
- Hadoop学习笔记—20.网站日志分析项目案例(一)项目介绍
Hadoop学习笔记-20.网站日志分析项目案例(一)项目介绍 网站日志分析项目案例(一)项目介绍:当前页面 网站日志分析项目案例(二)数据清洗:http://www.cnblogs.com/edis ...
- 从一则笑话里分析项目需求的缺陷
某日,老师在课堂上想考考学生们的智商,就问一个男孩:"树上有十只鸟,开枪打死一只,还剩几只?" 男孩反问:"是无声枪么?" "不是." &q ...
最新文章
- tornado简单实现restful接口2
- 学生课程表管理系统——stage 1
- MyBatis学习总结(三)——优化MyBatis配置文件中的配置
- 递归 || 递归的相关实例练习
- android AsyncTask介绍(转)
- 程序员讨论技术问题时说话都很直接,哪个国家都不例外
- 【算法竞赛学习】气象海洋预测-Task5 模型建立之 SA-ConvLSTM
- I must be strong and carry on
- iOS NSURLSession DataTask(数据任务)
- aop源码分析之 —— 创建代理对象
- 用‘slay’干掉某个用户的所有进程
- 苹果鼠标滚轮驱动_双飞燕血手幽灵V8M Max电竞鼠标兼具功能和性价比
- LPWAN——Sigfox实战经验介绍
- adventureworks mysql_adventureworks
- 面试官问你的缺点是什么,应该如何回答?
- ffmpeg 用于转换视频格式的各种命令行
- [管理]ERP专业术语
- java全角数字_Java全角、半角字符的关系以及转换
- Blocked a frame with origin “https://my.xxxxxxx.com“ from accessing a cross-origin frame.
- 怎么制作视频的动态字幕?