? a√无码在线观看,最近的中文字幕视频完整,在线va无卡无码精品

云雨之欢短剧免费完整版_国产精品亚洲美女一区三区_欧美精品在线观看_亚洲国产综合AⅤ99精品_久久亚洲色WWW成人欧美_无码乱人伦一区二区亚洲一_高校美女内射含羞草_亚洲欧美日韩综合久久久久_欧美国产免费公开视频_边做饭边被躁我和邻居日本

全國服務(wù)熱線:13269178368
18999183549
010-63866300

行業(yè)資訊

聯(lián)系我們

聯(lián)系人:孫老師

電話:010-63866300
           18999183549

手機(jī):13269178368
傳真:010-63866302
網(wǎng)址:http://www.bulkmates.com
地址:北京市豐臺區(qū)東大街東貨場路38號金泰銀豐大廈五樓


行業(yè)資訊

您所在地的位置: 首頁  »  行業(yè)資訊

檢測表明:嵌入式設(shè)備大多存在高位安全缺陷

來源:北京精誠智和教育科技有限公司 發(fā)布時間: 點擊量:1084

    據(jù)PCWorld網(wǎng)站報道,對數(shù)百個可以公開獲得的路由器、DSL調(diào)制解調(diào)器、網(wǎng)絡(luò)電話、網(wǎng)絡(luò)攝像頭和其他嵌入設(shè)備的固件鏡像文件進(jìn)行的分析發(fā)現(xiàn),其中許多固件都存在高風(fēng)險的安全缺陷,這表明廠商沒有對產(chǎn)品的安全性進(jìn)行充分測試。

  這項研究是由法國Eurecom研究中心和德國波鴻-魯爾大學(xué)的研究人員進(jìn)行的。他們開發(fā)了一個能對固件鏡像文件解壓縮、在模擬環(huán)境中運行固件和啟動嵌入式Web服務(wù)器的自動平臺。

  研究人員對來自54家廠商的嵌入式設(shè)備的1925款基于Linux的固件鏡像文件進(jìn)行了研究,但只成功地啟動了其中246個固件的Web服務(wù)器。他們認(rèn)為,通過對他們的平臺進(jìn)行調(diào)整,這一數(shù)字還會增加。他們的目標(biāo),是利用開放源代碼滲透測試工具,對固件中基于Web的管理界面進(jìn)行動態(tài)缺陷分析。結(jié)果研究人員在46個分析的固件鏡像文件中發(fā)現(xiàn)225個高危安全缺陷。

  PCWorld表示,在測試中,研究人員把Web界面代碼分離出來,并在一個通用服務(wù)器上運行這些代碼,在不模擬真實固件環(huán)境的情況下檢測缺陷。這一測試存在不足之處,但成功對515個固件鏡像文件進(jìn)行了測試,并發(fā)現(xiàn)其中的307個存在缺陷。

  研究人員還利用另外一款開放源代碼工具,對從設(shè)備固件鏡像文件中提取的PHP代碼進(jìn)行了靜態(tài)分析,在其中的145個固件鏡像文件中發(fā)現(xiàn)9046個安全缺陷。研究人員通過靜態(tài)和動態(tài)分析,在185個固件鏡像文件的基于Web的管理界面中發(fā)現(xiàn)重要的安全缺陷,例如命令執(zhí)行、SQL injection和跨站腳本攻擊,涉及54家廠商中約四分之一廠商的設(shè)備。

  PCWorld稱,研究人員致力于開發(fā)一種可靠的方法,在不“接觸”相應(yīng)物理設(shè)備的情況下,自動對固件鏡像文件進(jìn)行測試,而非對固件中的缺陷進(jìn)行完全掃描。他們沒有人工對代碼進(jìn)行分析,也沒有使用各種各樣的掃描工具對高級邏輯缺陷進(jìn)行分析。

  這意味著他們發(fā)現(xiàn)的都是最容易被發(fā)現(xiàn)的問題,都是在任何標(biāo)準(zhǔn)化的安全測試中應(yīng)當(dāng)很容易被發(fā)現(xiàn)的缺陷。這就引發(fā)了一個問題:相關(guān)廠商為什么沒有發(fā)現(xiàn)和修正這些缺陷?

  參與這項研究的研究人員安德烈·科斯廷(Andrei Costin)表示,情況似乎是這樣的:相關(guān)廠商要么沒有對代碼進(jìn)行安全測試,要么測試工作相當(dāng)馬虎。

  科斯廷當(dāng)?shù)貢r間上周四在布加勒斯特舉辦的DefCamp安全會議上闡述了其團(tuán)隊的研究成果。這是對固件鏡像文件進(jìn)行的第二次大規(guī)模測試,去年,參與這項研究的部分研究人員就開發(fā)了相關(guān)方法,自動檢測大量固件鏡像文件中的后門和加密問題。

  PCWorld指出,在他們的測試中,部分固件不是最新版本,因此他們發(fā)現(xiàn)的缺陷并非全部是零日缺陷——之前沒有被發(fā)現(xiàn)、尚未修正的缺陷。但是,這一研究的影響仍然相當(dāng)大,因為大多數(shù)用戶很少對嵌入式設(shè)備的固件進(jìn)行升級。

  在DefCamp上,作為IoT Village的一部分,與會者受邀對4款物聯(lián)網(wǎng)設(shè)備進(jìn)行攻擊。與會者在一款智能視頻門鈴中發(fā)現(xiàn)2處危急缺陷,黑客可以利用這2處缺陷完全獲得設(shè)備的控制權(quán)。這款門鈴還能控制智能門鎖。

  一款高端D-Link路由器的固件也存在一處缺陷。這一缺陷已經(jīng)被發(fā)現(xiàn),并在新版固件中得到修正,但路由器沒有提醒用戶對固件進(jìn)行更新。

  與會者還在Mikrotik的一款路由器中發(fā)現(xiàn)一處危險性不高的缺陷。唯一保持金剛不壞之身的一款設(shè)備是Nest Cam。

  這些缺陷的相關(guān)信息并未公開,因為IoT Village組織者會首先向相關(guān)廠商通報被發(fā)現(xiàn)的缺陷,以便他們修正這些缺陷。

更多管理培訓(xùn)請關(guān)注:http//www.gkpx365.com

更多工控培訓(xùn)請關(guān)注:http//www.bulkmates.com


北京精誠智和教育科技有限公司11年來舉辦的企業(yè)內(nèi)訓(xùn)課程有:

西門子PLC企業(yè)內(nèi)訓(xùn)|羅克韋爾AB PLC|施耐德PLC|GE PLC|西門子PCS7|中低、高壓變頻器企業(yè)內(nèi)訓(xùn)|自動化儀表|在線分析儀表|DCS集散控制系列|繼電保護(hù)及整定計算企業(yè)內(nèi)訓(xùn)|高壓電氣試驗|發(fā)電機(jī)勵磁系統(tǒng)|設(shè)備潤滑與油脂點檢|設(shè)備狀態(tài)監(jiān)測|WINCC, IFIX,博圖軟件TIA, POTRAL V13,RSViewse,InTouch等工業(yè)組態(tài)軟件|SCADA(數(shù)據(jù)采集與監(jiān)控系統(tǒng))|自動化系統(tǒng)集成|工業(yè)網(wǎng)絡(luò)通信|現(xiàn)場總線技術(shù)|液壓傳動技術(shù)|壓縮機(jī)設(shè)備|管理人員能力提升|員工職業(yè)化塑造與責(zé)任感提升|班組長管理能力提升,金牌班組長|生產(chǎn)主管管理能力提升企業(yè)內(nèi)訓(xùn)課程

培訓(xùn)地點--新疆、甘肅、陜西、寧夏、內(nèi)蒙古、青海、云南、貴州、河南、廣西、四川、重慶、黑龍江、湖北、山西、北京、上海、天津、河北、廣東、遼寧、吉林、江蘇、安徽、浙江、江西、湖南、福建、山東、西藏、海南

北京精誠智和公司版權(quán)所有

 

北京

博識通
點擊這里給我發(fā)消息

精誠智和
點擊這里給我發(fā)消息

點此留言
x提交留言
* 必填項
* 必填項
看不清點擊圖片換一張