今天介紹的是OWASP組織的一個關於物聯網安全的子專案:IoT攻擊面區域專案。
這個專案列出了物聯網領域的各類攻擊面。
為了能更好的防禦對物聯網裝置和物聯網雲平臺的攻擊,我們需要了解有哪些攻擊面。
哪些人需要了解這些攻擊面:
物聯網裝置廠商
物聯網開發人員
安全研究員
需要部署或實現物聯網技術的組織
1.生態系統訪問控制
元件之間預設信任
註冊安全
停用系統
訪問丟失流程
裝置記憶體
明文使用者名稱
明文密碼
第三方密碼
金鑰
2.裝置物理介面
韌體提取
使用者命令列介面
管理命令列介面
許可權提升
重置到不安全的狀態
刪除儲存介質上資訊
3.裝置Web介面
SQL注入攻擊
跨站指令碼攻擊
跨站請求偽造
使用者名稱列舉攻擊
弱密碼
賬號鎖定
預設賬號密碼
4.裝置韌體
硬編碼的賬號密碼
暴露敏感資訊
暴露敏感URL
金鑰暴露
顯示韌體版本資訊,顯示韌體最後更新日期
5.裝置網路服務
披露資訊
使用者命令列介面
管理命令列介面
注入攻擊
拒絕服務攻擊
服務未加密
加密實現不好
緩衝區溢位
UPnP
有漏洞的UDP服務
6.管理介面
SQL注入
跨站指令碼攻擊
跨站請求偽造
使用者名稱列舉攻擊
弱密碼
賬號鎖定
預設賬號密碼
安全/加密可選項
日誌選項
缺乏雙因子認證
無法清掉裝置上的使用者資料
7.本地資料儲存
資料未加密
用能被找到的金鑰加密資料
缺乏資料完整性檢查
8.雲端Web介面
SQL注入
跨站指令碼攻擊
跨站請求偽造
使用者名稱列舉攻擊
弱密碼
賬號鎖定
預設賬號密碼
傳輸未加密
不安全的密碼恢復機制
沒有雙因子認證
9.第三方後臺API介面
個人識別資訊未加密
洩露裝置資訊
裝置位置資訊洩露
10.更新機制
軟體更新包傳輸時未加密
軟體更新包未簽名
軟體更新沒有驗證
惡意軟體更新
缺乏手工更新機制
11.移動應用
預設信任裝置或雲
使用者名稱列舉攻擊
賬號鎖定
存在預設賬號密碼
弱口令
資料儲存不安全
傳輸未加密
不安全的密碼恢復機制
無雙因子認證
12.廠商後臺API介面
預設信任裝置或雲
弱驗證
弱訪問控制
注入攻擊
13.生態系統通訊
健康檢查
心跳
生態系統的命令
銷燬賬號
推送更新
14.網路流量
區域網
區域網到網際網路
短距離
非標準
無線(WiFi, Z-wave, XBee, Zigbee, Bluetooth, LoRA)
15.認證和授權
洩露認證和授權相關的session key, token, cookie
重複使用session key, token
缺乏裝置到裝置的認證
缺乏裝置到移動應用的認證
缺乏裝置到雲端的認證
缺乏移動應用到雲端的認證
缺乏web應用到雲端的認證
缺乏動態認證
16.隱私
洩露使用者資料
洩露使用者或裝置的位置資訊
差分隱私攻擊
17.硬體
篡改
物理破壞