OWASP IoT Top 10 釋出,來看看物聯網安全的十大坑
“OWASP 物聯網專案”始於2014年,旨在幫助開發人員、製造商、企業和消費者在建立和使用物聯網系統時做出更好的決策。2018年釋出的 OWASP IoT Top 10,說明了在構建、部署或管理物聯網系統時應該規避的十大問題。具體如下:
(1) 弱密碼、可猜測密碼或硬編碼密碼
使用輕易可遭暴力破解的、可公開獲取的或無法更改的憑證,包括韌體或客戶端軟體中允許對已部署系統進行未經授權訪問的後門。
(2) 不安全的網路服務
在裝置本身執行的不必要的或不安全的網路服務,尤其是被暴露在網際網路的、攻陷資訊機密性、完整性/真實性或可用性或允許未授權遠端控制的服務。
(3) 不安全的生態介面
裝置外生態系統中不安全的 web、後端 API、雲或移動介面,導致裝置或相關元件遭攻陷。常見的問題包括缺乏認證/授權、缺乏加密或弱加密以及缺乏輸入和輸出過濾。
(4) 缺乏安全的更新機制
缺乏安全更新裝置的能力,包括缺乏對裝置韌體的驗證、缺乏不安全的交付(未加密的傳輸)、缺乏反回滾機制以及缺乏對更新的安全變更的通知。
(5) 使用不安全或已遭棄用的元件
使用已遭棄用的或不安全的導致裝置遭攻陷的軟體元件/庫,包括作業系統平臺的不安全定製以及使用來自受損供應鏈的第三方軟體或硬體元件。
(6) 隱私保護不充分
不安全地、不當地、或未經授權使用儲存在裝置或生態系統中的使用者個人資訊。
(7) 不安全的資料傳輸和儲存
缺乏對生態系統中任何位置的敏感資料進行加密或訪問控制,包括未使用時、傳輸過程中或處理過程中的敏感資料。
(8) 缺乏裝置管理
缺乏對部署在生產過程中的裝置的安全支援,包括資產管理、更新管理、安全解除、系統監控和響應能力。
(9) 不安全的預設設定
裝置或系統的預設設定不安全或缺乏透過限制操作者修改配置的方式讓系統更加安全的能力。
(10) 缺乏物理加固措施
缺乏物理加固措施,導致潛在攻擊者能夠獲取敏感資訊以便後續進行遠端攻擊或對裝置進行本地控制。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2565404/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 2021 OWASP Top 10釋出——Broken Access Control 躍居榜首
- OWASP TOP 10 2021
- 網安雲知識 | OWASP TOP 10之安全配置錯誤
- IoT Analytics釋出:全球蜂窩物聯網模組跟蹤報告
- NB-IOT物聯網系統的安全架構架構
- Gartner釋出:2019年十大物聯網趨勢
- 綠盟科技《2019物聯網安全年報》釋出
- 如何測試OWASP Top 10
- 【物聯網】IoT與智慧時代
- 愛立信釋出IoT Accelerator Connect使企業物聯網連線更輕鬆
- 為什麼 OWASP API 安全Top 10 對企業很重要API
- 暢想物聯網安全未來,幾維安全讓萬物互聯更安全
- [物聯網IoT]萬物互聯開啟智慧新圖景 下一代網際網路未來已來
- 為物聯網程式碼安全而生 網易易盾公測IoT安全編譯器Maze編譯
- OWASP Top 10關鍵點記錄
- 什麼是物聯網 (IoT) ? IoT驅動的CRM是怎樣的?
- 基於nb-iot的物聯網構建
- 物聯網安全
- 物信鏈釋出PDash資料共享協議,物聯網迎來資料互聯時代協議
- Python玩轉物聯網--《物聯網Python開發實戰》新書釋出Python新書
- 邁進IoT 2.0 思科物聯網如何透過服務來獲利?
- 物聯網安全分析
- 騰訊安全正式釋出《IoT安全能力圖譜》
- 1小時完成“零程式碼物聯網化” 阿里雲IoT釋出智慧單品免開發方案阿里
- 【阿里雲IoT+YF3300】1.時代大背景下的阿里雲IoT物聯網的現狀和未來阿里
- 物聯網安全痛點
- 基於Azure IoT開發.NET物聯網應用系列-全新的Azure IoT架構架構
- 物聯網開發者速來圍觀,如何使用亞馬遜 IoT Core 構建安全合規的智慧產品亞馬遜
- 騰訊IOT之樹莓派物聯網裝置樹莓派
- MQTT協議與阿里雲IoT物聯網平臺MQQT協議阿里
- Nodejs裝置接入阿里雲IoT物聯網平臺NodeJS阿里
- 物聯網的演變,物聯網的過去、現在和未來
- 如何使用物聯網裝置來確保兒童安全?
- 人工智慧(AI)與物聯網(IOT)的混搭受熱捧人工智慧AI
- 物聯網 IOT 裝置如何脫離資訊孤島?
- RTL8710CM Wi-Fi 物聯網(IoT)應用
- 物聯網安全迫在眉睫 如何讓物聯網攻不可破?
- Eclipse釋出:2019年物聯網開發者調查Eclipse