“OWASP 物联网项目”始于2014年,旨在帮助开发人员、制造商、企业和消费者在创建和使用物联网系统时做出更好的决策。2018年发布的 OWASP IoT Top 10,说明了在构建、部署或管理物联网系统时应该规避的十大问题。具体如下:

(1) 弱密码、可猜测密码或硬编码密码

使用轻易可遭暴力破解的、可公开获取的或无法更改的凭证,包括固件或客户端软件中允许对已部署系统进行未经授权访问的后门。

(2) 不安全的网络服务

在设备本身运行的不必要的或不安全的网络服务,尤其是被暴露在互联网的、攻陷信息机密性、完整性/真实性或可用性或允许未授权远程控制的服务。

(3) 不安全的生态接口

设备外生态系统中不安全的 web、后端 API、云或移动接口,导致设备或相关组件遭攻陷。常见的问题包括缺乏认证/授权、缺乏加密或弱加密以及缺乏输入和输出过滤。

(4) 缺乏安全的更新机制

缺乏安全更新设备的能力,包括缺乏对设备固件的验证、缺乏不安全的交付(未加密的传输)、缺乏反回滚机制以及缺乏对更新的安全变更的通知。

(5) 使用不安全或已遭弃用的组件

使用已遭弃用的或不安全的导致设备遭攻陷的软件组件/库,包括操作系统平台的不安全定制以及使用来自受损供应链的第三方软件或硬件组件。

(6) 隐私保护不充分

不安全地、不当地、或未经授权使用存储在设备或生态系统中的用户个人信息。

(7) 不安全的数据传输和存储

缺乏对生态系统中任何位置的敏感数据进行加密或访问控制,包括未使用时、传输过程中或处理过程中的敏感数据。

(8) 缺乏设备管理

缺乏对部署在生产过程中的设备的安全支持,包括资产管理、更新管理、安全解除、系统监控和响应能力。

(9) 不安全的默认设置

设备或系统的默认设置不安全或缺乏通过限制操作者修改配置的方式让系统更加安全的能力。

(10) 缺乏物理加固措施

缺乏物理加固措施,导致潜在攻击者能够获取敏感信息以便后续进行远程攻击或对设备进行本地控制。

原文来自:http://www.codesafe.cn/index.php?r=news/detail&id=4650

本文地址:https://www.linuxprobe.com/owasp-top-10.html编辑:薛鹏旭,审核员:逄增宝