Day6 那個OWASP，對，就是你知道的那個OWASP - 4 : OWASP Firmware Security Testing Methodology - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

2022 iThome 鐵人賽

DAY 5

0

Security

駭~你的機器人讓我進來的 !系列第 6 篇

Day6 那個OWASP，對，就是你知道的那個OWASP - 4 : OWASP Firmware Security Testing Methodology

14th鐵人賽

2022-09-09 10:24:31

899 瀏覽

分享至

情蒐和偵察 : 通常此部分的情蒐與偵察也與網站滲透測試差不多，值得一提的是物聯網弱點常用shodan、fofa、censys.......等弱點瀏覽器去做偵查，另外也常用一些OSINT工具去對目標做情蒐(利用方法後面會提到)。
獲取韌體 :
常用的方法有:
- 直接上網抓
- 拆解硬體
分析韌體 : 常會利用靜態分析工具、鑑識工具.....等，去對韌體做初步分析。
提取 filesystem
分析 filesystem
模擬韌體
動態分析 : 用gdb、x86dbg......等，跟一般逆向工程(Reverse Enginering)的方法差不多。
運行分析
Binary Exploitation : 利用分析後找到的弱點做漏洞利用。

其實這部分跟網站滲透測試滿像的，大致上都是先偵查、分析弱點、弱點利用......。
大致上駭客在做攻擊的思路都像如此，

Day5 那個OWASP，對，就是你知道的那個OWASP - 3 : OWASP Firmware Analysis Project

Day7 那個OWASP，對，就是你知道的那個OWASP - 5 : IoT Security Verification Standard(ISVS)

系列文

駭~你的機器人讓我進來的 ! 共 8 篇

目錄

RSS系列文訂閱系列文

2 人訂閱

完整目錄

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

尚未有邦友留言

立即登入留言

參賽組數

1064 組

團體組數

40 組

累計文章數

22200 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙