分析物联网设备七大攻击面及其应对方案针对物联网设备的平安问题,需要提高黑客攻击物联网设备的本钱,降低物联网设备的平安风险。我们将从7个攻击面对设备进行平安评估分析,并给出应对措施。1.糟糕的web用户界面配置良好的web用户界面是吸引用户的重要因素之一。对于物联网应用程序而言,良好的web用户界面可以帮助用户实现各项控制功能,设置设备,以及更快、更轻松地将设备集成到系统中。但是麻烦的是,这些web用户界面经常也会为网络犯罪分子提供同样的易用性。大多数情况下,令人烦恼的物联网web界面问题与web应用程序的问题同样困扰着企业。虽然sql注入在物联网应用程序中并不是什么大问题,但命令注入、跨站点脚本以及跨站点请求伪造都是编程错误,能够导致犯罪分子随时访问设备和完整的系统,以控制、监视和访问真实世界的运营操作。幸运的是,大多数web用户界面平安问题的补救措施与多年来向web开发人员反复灌输的内容相同,包括:验证输入、要求强密码(并且不允许在第一阶段的初始设置后使用默认密码)、不公开凭据、限制密码重试尝试,以及确保密码和用户名恢复程序的可靠性等。正如sam在卡萨布兰卡(casablanca)中所吟唱的那般,hellip;hellip;随着时光流逝,还是那一套。威胁案例。在2023年的44con大会上,研究人员mikejordan就演示了如何利用佳能的pixma打印机的web界面修改打印机的固件从而运行doom游戏。2.缺乏身份验证为物联网应用程序验证用户身份是一件好事。当应用程序可以控制建筑物访问和进行环境控制,或者为可能监视建筑物使用者的音频和视频设备提供访问权限时,身份验证似乎是必备因素,但在某些情况下,即使是最根本的身份验证也在实施中被遗漏了。对于物联网应用程序来说,两种身份验证非常重要。首先是用户身份验证。考虑到许多物联网环境的复杂性,问题是每个设备是否需要身份验证,或者单个系统身份验证是否足以支持网络上的每个设备。易用性的考虑使大多数系统设计人员选择后者,所以对接入设备或控制中心的强身份验证显得至关重要。系统的单点也使得另一种类型的认证设备认证变得更为重要。由于用户没有在每个设备接口上进行身份验证,因此物联网网络中的设备应该要求它们之间进行身份验证,以便攻击者无法使用隐含的信任作为进入系统的凭证。与web界面平安性一样,关闭这个平安漏洞的前提是将物联网视为一个真正的应用程序网络。由于许多设备没有本机用户界面这取决于浏览器ui或用于人机交互的应用程序因此会...
