黑客眼中的物联网 | OWASP物联网攻击面清单大全

本文介绍的是OWASP组织的一个关于物联网安全的子项目：IoT攻击面区域项目。

这个项目列出了物联网领域的各类攻击面。

为了能更好的防御对物联网设备和物联网云平台的攻击，我们需要了解有哪些攻击面。

哪些人需要了解这些攻击面：

1. 物联网设备厂商
2. 物联网开发人员
3. 安全研究员
4. 需要部署或实现物联网技术的组织

1.生态系统访问控制

• 组件之间默认信任
• 注册安全
• 停用系统
• 访问丢失流程
• 设备内存
• 明文用户名
• 明文密码
• 第三方密码
• 密钥

2.设备物理接口

• 固件提取
• 用户命令行接口
• 管理命令行接口
• 权限提升
• 重置到不安全的状态
• 删除存储介质上信息

3.设备Web界面

• SQL注入攻击
• 跨站脚本攻击
• 跨站请求伪造
• 用户名枚举攻击
• 弱密码
• 账号锁定
• 默认账号密码

4.设备固件

• 硬编码的账号密码
• 暴露敏感信息
• 暴露敏感URL
• 密钥暴露
• 显示固件版本信息，显示固件最后更新日期

5.设备网络服务

• 披露信息
• 用户命令行接口
• 管理命令行接口
• 注入攻击
• 拒绝服务攻击
• 服务未加密
• 加密实现不好
• 缓冲区溢出
• UPnP
• 有漏洞的UDP服务

6.管理接口

• SQL注入
• 跨站脚本攻击
• 跨站请求伪造
• 用户名枚举攻击
• 弱密码
• 账号锁定
• 默认账号密码
• 安全/加密可选项
• 日志选项
• 缺乏双因子认证
• 无法清掉设备上的用户数据

7.本地数据存储

• 数据未加密
• 用能被找到的密钥加密数据
• 缺乏数据完整性检查

8.云端Web界面

• SQL注入
• 跨站脚本攻击
• 跨站请求伪造
• 用户名枚举攻击
• 弱密码
• 账号锁定
• 默认账号密码
• 传输未加密
• 不安全的密码恢复机制
• 没有双因子认证

9.第三方后台API接口

• 个人识别信息未加密
• 泄露设备信息
• 设备位置信息泄露

10.更新机制

• 软件更新包传输时未加密
• 软件更新包未签名
• 软件更新没有验证
• 恶意软件更新
• 缺乏手工更新机制

11.移动应用

• 默认信任设备或云
• 用户名枚举攻击
• 账号锁定
• 存在默认账号密码
• 弱口令
• 数据存储不安全
• 传输未加密
• 不安全的密码恢复机制
• 无双因子认证

12.厂商后台API接口

• 默认信任设备或云
• 弱验证
• 弱访问控制
• 注入攻击

13.生态系统通信

• 健康检查
• 心跳
• 生态系统的命令
• 销毁账号
• 推送更新

14.网络流量

• 局域网
• 局域网到互联网
• 短距离
• 非标准
• 无线(WiFi, Z-wave, XBee, Zigbee, Bluetooth, LoRA)

15.认证和授权

• 泄露认证和授权相关的session key, token, cookie
• 重复使用session key, token
• 缺乏设备到设备的认证
• 缺乏设备到移动应用的认证
• 缺乏设备到云端的认证
• 缺乏移动应用到云端的认证
• 缺乏web应用到云端的认证
• 缺乏动态认证

16.隐私

• 泄露用户数据
• 泄露用户或设备的位置信息
• 差分隐私攻击

17.硬件

• 篡改
• 物理破坏

作者：与子同袍