OWASP,他有一個叫做物聯網的TOP10(2014版),第一名是,不安全的網路介面;物聯網的設備,多半都會提供一些網頁控制的介面,這一類是攻擊者首要的嘗試目標,許多物聯網的設備漏洞,他的攻擊都是從網頁上開始下手的,因此網頁的漏洞居多。第一名是,不足的認證與授權,物聯網的設備因為系統的資源是比較少的,所以在開發時,他較無法使用且負荷一些新型的Framework,因此身分的認證與授權的機制,他們皆須自行開發,自行開發的機制較容易出問題。
不安全的網路服務,物聯網設備通常會開啟不只一個服務,其為了要做多樣性的內容,而服務是否安全,則是一個相當大的疑慮,舉個例子,像是IPCAM為了讓他的日期皆相同,因此會去建置一個NTPd,去做校準的服務,這幾年皆會被DDOS攻擊,如果物聯網設備,其採用的是舊版的NTPd,將會增加其遭受攻擊的風險,因此我們必須檢查,其服務是否安全,或是其版本是否安全,才能使物聯網的設備處於較安全的環境。
iThome鐵人賽
看影片追技術