? 国产3p全程普通话太刺激磁力,香蕉女郎在线观看,av丝袜天堂久久网

云雨之欢短剧免费完整版_国产精品亚洲美女一区三区_欧美精品在线观看_亚洲国产综合AⅤ99精品_久久亚洲色WWW成人欧美_无码乱人伦一区二区亚洲一_高校美女内射含羞草_亚洲欧美日韩综合久久久久_欧美国产免费公开视频_边做饭边被躁我和邻居日本

全國(guó)服務(wù)熱線:13269178368
18999183549
010-63866300

行業(yè)資訊

聯(lián)系我們

聯(lián)系人:孫老師

電話:010-63866300
           18999183549

手機(jī):13269178368
傳真:010-63866302
網(wǎng)址:http://www.bulkmates.com
地址:北京市豐臺(tái)區(qū)東大街東貨場(chǎng)路38號(hào)金泰銀豐大廈五樓


行業(yè)資訊

您所在地的位置: 首頁(yè)  »  行業(yè)資訊

檢測(cè)表明:嵌入式設(shè)備大多存在高位安全缺陷

來(lái)源:北京精誠(chéng)智和教育科技有限公司 發(fā)布時(shí)間: 點(diǎn)擊量:1611

    據(jù)PCWorld網(wǎng)站報(bào)道,對(duì)數(shù)百個(gè)可以公開(kāi)獲得的路由器、DSL調(diào)制解調(diào)器、網(wǎng)絡(luò)電話、網(wǎng)絡(luò)攝像頭和其他嵌入設(shè)備的固件鏡像文件進(jìn)行的分析發(fā)現(xiàn),其中許多固件都存在高風(fēng)險(xiǎn)的安全缺陷,這表明廠商沒(méi)有對(duì)產(chǎn)品的安全性進(jìn)行充分測(cè)試。

  這項(xiàng)研究是由法國(guó)Eurecom研究中心和德國(guó)波鴻-魯爾大學(xué)的研究人員進(jìn)行的。他們開(kāi)發(fā)了一個(gè)能對(duì)固件鏡像文件解壓縮、在模擬環(huán)境中運(yùn)行固件和啟動(dòng)嵌入式Web服務(wù)器的自動(dòng)平臺(tái)。

  研究人員對(duì)來(lái)自54家廠商的嵌入式設(shè)備的1925款基于Linux的固件鏡像文件進(jìn)行了研究,但只成功地啟動(dòng)了其中246個(gè)固件的Web服務(wù)器。他們認(rèn)為,通過(guò)對(duì)他們的平臺(tái)進(jìn)行調(diào)整,這一數(shù)字還會(huì)增加。他們的目標(biāo),是利用開(kāi)放源代碼滲透測(cè)試工具,對(duì)固件中基于Web的管理界面進(jìn)行動(dòng)態(tài)缺陷分析。結(jié)果研究人員在46個(gè)分析的固件鏡像文件中發(fā)現(xiàn)225個(gè)高危安全缺陷。

  PCWorld表示,在測(cè)試中,研究人員把Web界面代碼分離出來(lái),并在一個(gè)通用服務(wù)器上運(yùn)行這些代碼,在不模擬真實(shí)固件環(huán)境的情況下檢測(cè)缺陷。這一測(cè)試存在不足之處,但成功對(duì)515個(gè)固件鏡像文件進(jìn)行了測(cè)試,并發(fā)現(xiàn)其中的307個(gè)存在缺陷。

  研究人員還利用另外一款開(kāi)放源代碼工具,對(duì)從設(shè)備固件鏡像文件中提取的PHP代碼進(jìn)行了靜態(tài)分析,在其中的145個(gè)固件鏡像文件中發(fā)現(xiàn)9046個(gè)安全缺陷。研究人員通過(guò)靜態(tài)和動(dòng)態(tài)分析,在185個(gè)固件鏡像文件的基于Web的管理界面中發(fā)現(xiàn)重要的安全缺陷,例如命令執(zhí)行、SQL injection和跨站腳本攻擊,涉及54家廠商中約四分之一廠商的設(shè)備。

  PCWorld稱,研究人員致力于開(kāi)發(fā)一種可靠的方法,在不“接觸”相應(yīng)物理設(shè)備的情況下,自動(dòng)對(duì)固件鏡像文件進(jìn)行測(cè)試,而非對(duì)固件中的缺陷進(jìn)行完全掃描。他們沒(méi)有人工對(duì)代碼進(jìn)行分析,也沒(méi)有使用各種各樣的掃描工具對(duì)高級(jí)邏輯缺陷進(jìn)行分析。

  這意味著他們發(fā)現(xiàn)的都是最容易被發(fā)現(xiàn)的問(wèn)題,都是在任何標(biāo)準(zhǔn)化的安全測(cè)試中應(yīng)當(dāng)很容易被發(fā)現(xiàn)的缺陷。這就引發(fā)了一個(gè)問(wèn)題:相關(guān)廠商為什么沒(méi)有發(fā)現(xiàn)和修正這些缺陷?

  參與這項(xiàng)研究的研究人員安德烈·科斯廷(Andrei Costin)表示,情況似乎是這樣的:相關(guān)廠商要么沒(méi)有對(duì)代碼進(jìn)行安全測(cè)試,要么測(cè)試工作相當(dāng)馬虎。

  科斯廷當(dāng)?shù)貢r(shí)間上周四在布加勒斯特舉辦的DefCamp安全會(huì)議上闡述了其團(tuán)隊(duì)的研究成果。這是對(duì)固件鏡像文件進(jìn)行的第二次大規(guī)模測(cè)試,去年,參與這項(xiàng)研究的部分研究人員就開(kāi)發(fā)了相關(guān)方法,自動(dòng)檢測(cè)大量固件鏡像文件中的后門和加密問(wèn)題。

  PCWorld指出,在他們的測(cè)試中,部分固件不是最新版本,因此他們發(fā)現(xiàn)的缺陷并非全部是零日缺陷——之前沒(méi)有被發(fā)現(xiàn)、尚未修正的缺陷。但是,這一研究的影響仍然相當(dāng)大,因?yàn)榇蠖鄶?shù)用戶很少對(duì)嵌入式設(shè)備的固件進(jìn)行升級(jí)。

  在DefCamp上,作為IoT Village的一部分,與會(huì)者受邀對(duì)4款物聯(lián)網(wǎng)設(shè)備進(jìn)行攻擊。與會(huì)者在一款智能視頻門鈴中發(fā)現(xiàn)2處危急缺陷,黑客可以利用這2處缺陷完全獲得設(shè)備的控制權(quán)。這款門鈴還能控制智能門鎖。

  一款高端D-Link路由器的固件也存在一處缺陷。這一缺陷已經(jīng)被發(fā)現(xiàn),并在新版固件中得到修正,但路由器沒(méi)有提醒用戶對(duì)固件進(jìn)行更新。

  與會(huì)者還在Mikrotik的一款路由器中發(fā)現(xiàn)一處危險(xiǎn)性不高的缺陷。唯一保持金剛不壞之身的一款設(shè)備是Nest Cam。

  這些缺陷的相關(guān)信息并未公開(kāi),因?yàn)镮oT Village組織者會(huì)首先向相關(guān)廠商通報(bào)被發(fā)現(xiàn)的缺陷,以便他們修正這些缺陷。

更多管理培訓(xùn)請(qǐng)關(guān)注:http//www.gkpx365.com

更多工控培訓(xùn)請(qǐng)關(guān)注:http//www.bulkmates.com

 

北京精誠(chéng)智和教育科技有限公司11年來(lái)舉辦的企業(yè)內(nèi)訓(xùn)課程有:

西門子PLC企業(yè)內(nèi)訓(xùn)|羅克韋爾AB PLC|施耐德PLC|GE PLC|西門子PCS7|中低、高壓變頻器企業(yè)內(nèi)訓(xùn)|自動(dòng)化儀表|在線分析儀表|DCS集散控制系列|繼電保護(hù)及整定計(jì)算企業(yè)內(nèi)訓(xùn)|高壓電氣試驗(yàn)|發(fā)電機(jī)勵(lì)磁系統(tǒng)|設(shè)備潤(rùn)滑與油脂點(diǎn)檢|設(shè)備狀態(tài)監(jiān)測(cè)|WINCC, IFIX,博圖軟件TIA, POTRAL V13,RSViewse,InTouch等工業(yè)組態(tài)軟件|SCADA(數(shù)據(jù)采集與監(jiān)控系統(tǒng))|自動(dòng)化系統(tǒng)集成|工業(yè)網(wǎng)絡(luò)通信|現(xiàn)場(chǎng)總線技術(shù)|液壓傳動(dòng)技術(shù)|壓縮機(jī)設(shè)備|管理人員能力提升|員工職業(yè)化塑造與責(zé)任感提升|班組長(zhǎng)管理能力提升,金牌班組長(zhǎng)|生產(chǎn)主管管理能力提升企業(yè)內(nèi)訓(xùn)課程

培訓(xùn)地點(diǎn)--新疆、甘肅、陜西、寧夏、內(nèi)蒙古、青海、云南、貴州、河南、廣西、四川、重慶、黑龍江、湖北、山西、北京、上海、天津、河北、廣東、遼寧、吉林、江蘇、安徽、浙江、江西、湖南、福建、山東、西藏、海南

北京精誠(chéng)智和公司版權(quán)所有

 

北京

博識(shí)通
點(diǎn)擊這里給我發(fā)消息

精誠(chéng)智和
點(diǎn)擊這里給我發(fā)消息

點(diǎn)此留言
x提交留言
* 必填項(xiàng)
* 必填項(xiàng)
看不清點(diǎn)擊圖片換一張