"OWASP 物联网项目" 始于 2014 年, 旨在帮助开发人员, 制造商, 企业和消费者在创建和使用物联网系统时做出更好的决策.
研究团队由于多种原因, 自 2014 年以来, owasp 物联网前 10 名尚未更新.
OWASP 发布的 2018 年 OWASP IoT Top 10, 说明了在构建, 部署或管理物联网系统时应该规避的十大问题.
(1) 弱密码, 密码可预测, 硬编码密码
使用可以轻易暴力破解的, 可公开获取的或无法更改的凭证, 也包括固件后门或客户端软件中允许对已部署系统进行未经授权访问.
(2) 不安全的网络服务
在设备本身运行不必要或不安全的网络服务, 尤其是暴露在互联网的网络服务, 可能会遭到渗透攻击造成机敏感信息泄漏, 文件的真实性完整性被破坏或者允许未授权远程控制.
(3) 不安全的生态系统接口
设备外的生态系统中不安全的 web, 后端 API, 云或移动接口, 将可能导致设备或相关组件遭攻陷. 常见的问题包括缺乏认证 / 授权, 缺乏加密或弱加密, 缺乏输入和输出过滤.
(4) 缺乏安全的更新机制
缺乏安全更新设备的能力, 包括缺乏对设备固件的验证, 缺乏安全的交付 (未加密的传输), 缺乏反回滚机制以及缺乏更新导致的安全性变化的通知.
(5) 使用不安全或过时的组件
使用已被弃用或不安全的软件组件或者库将可能导致设备被攻陷, 其中包括操作系统平台上不安全的定制, 以及使用来自受控供应链上的第三方软件或硬件组件.
(6) 隐私保护不充分
不安全, 不当, 或未授权使用存储在设备或生态系统中的用户个人信息.
(7) 不安全的数据传输和存储
缺乏对生态系统中任何位置敏感数据的加密保护或访问控制, 其中包括未使用时, 传输时或处理时的敏感数据.
(8) 缺乏设备管理
对部署在生产环境中的设备缺乏有效的安全支持, 其中包括资产管理, 更新管理, 安全解除, 系统监控和响应能力.
(9) 不安全的默认设置
设备或系统使用不安全的默认设置运行, 或者缺乏通过限制操作者修改配置的方式让系统更加安全的能力.
(10) 缺乏物理加固措施
缺乏物理加固措施, 导致潜在攻击者能够获取敏感信息以便后续进行远程攻击或对设备进行本地控制.
来源: http://www.jianshu.com/p/1243b964c9ff