https://wiki.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=IoT_Top_10

OWASP (Open Web Application Security Project，開放網頁應用程式安全計畫)

雖然叫Open Web Application Security Project，不過OWASP組織，不只有提出對於網頁的十大弱點，更有對物聯網提出物聯網的十大弱點。

Internet of Things (IoT) Top 10 2018

- 弱密碼  (Weak Guessable or Hardcoded  Passwords)
- 不安全的網路服務  (Insecure Network Services)
- 不安全的網路設定介面  (Insecure Ecosystem Interfaces)
- 不安全的更新機制  (Lack of Secure Update Mechanism) 
- 使用不安全的元件  (Use of Insecure Outdated Components)
- 隱私防護不足  (Insufficient Privacy Protection)
- 不安全的資料傳輸和儲存  (Insecure Data Transfer and Storage)
- 缺乏設備管理  (Lack of Device Management)
- 不安全的預設設定  (Insecure Default Settings)
- 缺乏實體安全強化  (Lack of Physical Hardening)

https://github.com/scriptingxss/OWASP-IoT-Top-10-2018-Mapping

欸 ! 這個TOP10怎麼跟web security提出的有87分像!?
難道OWASP偷懶?瓜張???

欸~ 不是啦~ 主要是因為物聯網資安漏洞會出現的地方剛好與web的非常相似
(以下是web的)

- A01:2021-權限控制失效
- A02:2021-加密機制失效
- A03:2021-注入式攻擊
- A04:2021-不安全設計
- A05:2021-安全設定缺陷
- A06:2021-危險或過舊的元件
- A07:2021-認證及驗證機制失效
- A08:2021-軟體及資料完整性失效
- A09:2021-資安記錄及監控失效
- A10:2021-伺服端請求偽造

所以你家老闆叫你防護好網頁，難道監視器、路由器、印表機就可以不用嗎???