? 欧美日韩亚洲高清不卡一区二区三区 ,国产成人精品视频一区二区不卡,少妇邻居做爰2伦理

云雨之欢短剧免费完整版_国产精品亚洲美女一区三区_欧美精品在线观看_亚洲国产综合AⅤ99精品_久久亚洲色WWW成人欧美_无码乱人伦一区二区亚洲一_高校美女内射含羞草_亚洲欧美日韩综合久久久久_欧美国产免费公开视频_边做饭边被躁我和邻居日本

全國服務熱線:13269178368
18999183549
010-63866300

行業(yè)資訊

聯(lián)系我們

聯(lián)系人:孫老師

電話:010-63866300
           18999183549

手機:13269178368
傳真:010-63866302
網址:http://www.bulkmates.com
地址:北京市豐臺區(qū)東大街東貨場路38號金泰銀豐大廈五樓


行業(yè)資訊

您所在地的位置: 首頁  »  行業(yè)資訊

檢測表明:嵌入式設備大多存在高位安全缺陷

來源:北京精誠智和教育科技有限公司 發(fā)布時間: 點擊量:1083

    據(jù)PCWorld網站報道,對數(shù)百個可以公開獲得的路由器、DSL調制解調器、網絡電話、網絡攝像頭和其他嵌入設備的固件鏡像文件進行的分析發(fā)現(xiàn),其中許多固件都存在高風險的安全缺陷,這表明廠商沒有對產品的安全性進行充分測試。

  這項研究是由法國Eurecom研究中心和德國波鴻-魯爾大學的研究人員進行的。他們開發(fā)了一個能對固件鏡像文件解壓縮、在模擬環(huán)境中運行固件和啟動嵌入式Web服務器的自動平臺。

  研究人員對來自54家廠商的嵌入式設備的1925款基于Linux的固件鏡像文件進行了研究,但只成功地啟動了其中246個固件的Web服務器。他們認為,通過對他們的平臺進行調整,這一數(shù)字還會增加。他們的目標,是利用開放源代碼滲透測試工具,對固件中基于Web的管理界面進行動態(tài)缺陷分析。結果研究人員在46個分析的固件鏡像文件中發(fā)現(xiàn)225個高危安全缺陷。

  PCWorld表示,在測試中,研究人員把Web界面代碼分離出來,并在一個通用服務器上運行這些代碼,在不模擬真實固件環(huán)境的情況下檢測缺陷。這一測試存在不足之處,但成功對515個固件鏡像文件進行了測試,并發(fā)現(xiàn)其中的307個存在缺陷。

  研究人員還利用另外一款開放源代碼工具,對從設備固件鏡像文件中提取的PHP代碼進行了靜態(tài)分析,在其中的145個固件鏡像文件中發(fā)現(xiàn)9046個安全缺陷。研究人員通過靜態(tài)和動態(tài)分析,在185個固件鏡像文件的基于Web的管理界面中發(fā)現(xiàn)重要的安全缺陷,例如命令執(zhí)行、SQL injection和跨站腳本攻擊,涉及54家廠商中約四分之一廠商的設備。

  PCWorld稱,研究人員致力于開發(fā)一種可靠的方法,在不“接觸”相應物理設備的情況下,自動對固件鏡像文件進行測試,而非對固件中的缺陷進行完全掃描。他們沒有人工對代碼進行分析,也沒有使用各種各樣的掃描工具對高級邏輯缺陷進行分析。

  這意味著他們發(fā)現(xiàn)的都是最容易被發(fā)現(xiàn)的問題,都是在任何標準化的安全測試中應當很容易被發(fā)現(xiàn)的缺陷。這就引發(fā)了一個問題:相關廠商為什么沒有發(fā)現(xiàn)和修正這些缺陷?

  參與這項研究的研究人員安德烈·科斯廷(Andrei Costin)表示,情況似乎是這樣的:相關廠商要么沒有對代碼進行安全測試,要么測試工作相當馬虎。

  科斯廷當?shù)貢r間上周四在布加勒斯特舉辦的DefCamp安全會議上闡述了其團隊的研究成果。這是對固件鏡像文件進行的第二次大規(guī)模測試,去年,參與這項研究的部分研究人員就開發(fā)了相關方法,自動檢測大量固件鏡像文件中的后門和加密問題。

  PCWorld指出,在他們的測試中,部分固件不是最新版本,因此他們發(fā)現(xiàn)的缺陷并非全部是零日缺陷——之前沒有被發(fā)現(xiàn)、尚未修正的缺陷。但是,這一研究的影響仍然相當大,因為大多數(shù)用戶很少對嵌入式設備的固件進行升級。

  在DefCamp上,作為IoT Village的一部分,與會者受邀對4款物聯(lián)網設備進行攻擊。與會者在一款智能視頻門鈴中發(fā)現(xiàn)2處危急缺陷,黑客可以利用這2處缺陷完全獲得設備的控制權。這款門鈴還能控制智能門鎖。

  一款高端D-Link路由器的固件也存在一處缺陷。這一缺陷已經被發(fā)現(xiàn),并在新版固件中得到修正,但路由器沒有提醒用戶對固件進行更新。

  與會者還在Mikrotik的一款路由器中發(fā)現(xiàn)一處危險性不高的缺陷。唯一保持金剛不壞之身的一款設備是Nest Cam。

  這些缺陷的相關信息并未公開,因為IoT Village組織者會首先向相關廠商通報被發(fā)現(xiàn)的缺陷,以便他們修正這些缺陷。

更多管理培訓請關注:http//www.gkpx365.com

更多工控培訓請關注:http//www.bulkmates.com


北京精誠智和教育科技有限公司11年來舉辦的企業(yè)內訓課程有:

西門子PLC企業(yè)內訓|羅克韋爾AB PLC|施耐德PLC|GE PLC|西門子PCS7|中低、高壓變頻器企業(yè)內訓|自動化儀表|在線分析儀表|DCS集散控制系列|繼電保護及整定計算企業(yè)內訓|高壓電氣試驗|發(fā)電機勵磁系統(tǒng)|設備潤滑與油脂點檢|設備狀態(tài)監(jiān)測|WINCC, IFIX,博圖軟件TIA, POTRAL V13,RSViewse,InTouch等工業(yè)組態(tài)軟件|SCADA(數(shù)據(jù)采集與監(jiān)控系統(tǒng))|自動化系統(tǒng)集成|工業(yè)網絡通信|現(xiàn)場總線技術|液壓傳動技術|壓縮機設備|管理人員能力提升|員工職業(yè)化塑造與責任感提升|班組長管理能力提升,金牌班組長|生產主管管理能力提升企業(yè)內訓課程

培訓地點--新疆、甘肅、陜西、寧夏、內蒙古、青海、云南、貴州、河南、廣西、四川、重慶、黑龍江、湖北、山西、北京、上海、天津、河北、廣東、遼寧、吉林、江蘇、安徽、浙江、江西、湖南、福建、山東、西藏、海南

北京精誠智和公司版權所有

 

北京

博識通
點擊這里給我發(fā)消息

精誠智和
點擊這里給我發(fā)消息

點此留言
x提交留言
* 必填項
* 必填項
看不清點擊圖片換一張