|
本文開始逐步的降低公眾號(hào)更文頻率���,提升文章質(zhì)量��,幫忙多點(diǎn)點(diǎn)文章末右下角的“好看”支持下�����,也可以將本文分享到朋友圈或你身邊的朋友�����,謝謝
多年來�����,連接到互聯(lián)網(wǎng)的設(shè)備數(shù)量呈指數(shù)增長(zhǎng)�。2015年��,在超過150億臺(tái)設(shè)備中�����,超過230億臺(tái)設(shè)備連接在一起��。據(jù)估計(jì)����,到2020年這一數(shù)字將超過300億大關(guān),預(yù)計(jì)到2025年將有超過750億臺(tái)設(shè)備連接到互聯(lián)網(wǎng)��。 特嘗試翻譯了本文以供大家參考物聯(lián)網(wǎng)安全測(cè)試�。 原文:https://www./index.php/IoT_Testing_Guides 本手冊(cè)(處于draft狀態(tài))的目標(biāo)是幫助測(cè)試人員評(píng)估物聯(lián)網(wǎng)中物聯(lián)網(wǎng)設(shè)備和物聯(lián)網(wǎng)應(yīng)用程序。 下面的指導(dǎo)從物聯(lián)網(wǎng)測(cè)試人員角度為物聯(lián)網(wǎng)設(shè)備和物聯(lián)網(wǎng)應(yīng)用程序提供了一組基本的安全評(píng)價(jià)準(zhǔn)則�����。 這不是一個(gè)全面的列表��,也不應(yīng)該當(dāng)做一個(gè)全面的列表來看待�����,但本列表確保涵蓋了可以大大提升任何物聯(lián)網(wǎng)產(chǎn)品的安全性的基本要素���。 | 分類 | 安全因素 |
|---|
| I1: 不安全的web界面 | - 評(píng)估任何web界面�,已確定是否允許弱密碼 - 評(píng)估賬戶鎖定機(jī)制 - 評(píng)估web接口的XSS、SQLi和CSRF以及其他web應(yīng)用程序漏洞 - 評(píng)估使用HTTPS包含傳輸信息 - 評(píng)估更改用戶名和密碼的能力 - 確定是否使用web應(yīng)用防火墻來保護(hù)web接口 | | I2:認(rèn)證/授權(quán)不足 | - 評(píng)估在需要身份驗(yàn)證的情況下���,是否使用了強(qiáng)密碼解決方案 - 評(píng)估使用了多用戶環(huán)境解決方案情況下�,確保它包含了角色分離功能 - 盡可能評(píng)估實(shí)現(xiàn)了多重身份驗(yàn)證解決方案 - 評(píng)估密碼恢復(fù)機(jī)制 - 評(píng)估需要強(qiáng)密碼選項(xiàng)的解決方案 - 評(píng)估在特定時(shí)間強(qiáng)制密碼過期選項(xiàng)的解決方案 - 評(píng)估更改默認(rèn)用戶名和密碼選項(xiàng)的解決方案 | | I3: 不安全的網(wǎng)絡(luò)服務(wù) | - 評(píng)估解決方案�,該方案確保網(wǎng)絡(luò)服務(wù)不會(huì)對(duì)緩沖區(qū)溢出、模糊化或拒絕服務(wù)攻擊做出糟糕的響應(yīng) - 評(píng)估解決方案�����,該方案確保不存在測(cè)試端口 | | I4: 缺乏傳輸加密 | - 評(píng)估解決方案以確定設(shè)備之間��,設(shè)備與互聯(lián)網(wǎng)之間的加密通信使用了預(yù)定的解決方案 - 評(píng)估是否使用了經(jīng)過實(shí)踐公認(rèn)的加密解決方案�����,以是否避免使用自定義的專有協(xié)議 - 評(píng)估加密解決方案在防火墻環(huán)境下是否可用 | | I5: 隱私顧慮 | - 評(píng)估解決方案以確定收集的個(gè)人信息的數(shù)量 - 評(píng)估解決方案以確定所收集的個(gè)人信息在靜態(tài)與及傳輸過中使用了加密措施來進(jìn)行保護(hù) - 評(píng)估解決方案以確定是否確保數(shù)據(jù)可以被標(biāo)識(shí)取消或匿名 - 評(píng)估解決方案以確保終端用戶在收集設(shè)備正常運(yùn)行所需的數(shù)據(jù)外�����,還可以選擇收集哪些數(shù)據(jù) | | I6:不安全的云接口 | - 評(píng)估云接口的安全漏洞(例如API接口和基于云的web接口) - 評(píng)估基于云的web界面�,確保它不運(yùn)行弱密碼 - 評(píng)估基于云的web界面,確保它包含賬戶鎖定機(jī)制 - 評(píng)估基于云的web接口�,以確定是否使用了多重身份驗(yàn)證機(jī)制 - 評(píng)估XSS、SQLi和CRSF漏洞以及其他漏洞的任何云接口 - 評(píng)估所有云接口以確保使用傳輸加密 - 評(píng)估云接口,以確定是否需要強(qiáng)密碼的選項(xiàng)可用 - 評(píng)估云接口��,以確定在特定時(shí)間段后強(qiáng)制密碼過期的選項(xiàng)是否可用 - 評(píng)估云接口�,以確定更改默認(rèn)用戶名和密碼的選項(xiàng)是否可用 | | I7:不安全的移動(dòng)接口 | - 評(píng)估移動(dòng)界面����,確保它不允許弱密碼 - 評(píng)估移動(dòng)界面,確保它包括賬號(hào)鎖定機(jī)制 - 評(píng)估移動(dòng)接口����,確保它實(shí)現(xiàn)了多重身份驗(yàn)證機(jī)制 - 評(píng)估移動(dòng)接口,確保它使用了加密傳輸 - 評(píng)估移動(dòng)界面�����,以確定是否有需要強(qiáng)密碼選項(xiàng)可用 - 評(píng)估移動(dòng)界面�,以確定在特定時(shí)間段后強(qiáng)制密碼過期的選項(xiàng)是否可用 - 評(píng)估移動(dòng)界面,以確定更改默認(rèn)用戶名和密碼的選項(xiàng)是否可用 - 評(píng)估移動(dòng)界面��,以確定手機(jī)的個(gè)人信息的數(shù)量 | | I8:不足的安全配置 | - 評(píng)估解決方案以確保密碼安全選項(xiàng)(例如啟用20個(gè)字符的密碼或啟動(dòng)多重驗(yàn)證機(jī)制)可用 - 評(píng)估解決方案以確定加密選項(xiàng)是否可用(例如啟動(dòng)AES-256����,AES-128默認(rèn)可用) - 評(píng)估解決方案,以確定安全事件的日志是否可用 - 評(píng)估解決方案�,以確定當(dāng)觸發(fā)安全事件時(shí)是否向用戶發(fā)送警報(bào)和通知 | | I9:不安全的軟件/固件 | - 評(píng)估設(shè)備確保它包括更新功能,并能在發(fā)現(xiàn)漏洞時(shí)快速更新 - 評(píng)估設(shè)備確保它使用了加密的更新文件,并確保文件使用了加密傳輸 - 評(píng)估設(shè)備以確保使用了簽名文件���,并在安裝之前驗(yàn)證該文件 | | I10:不安全的物理環(huán)境 | - 評(píng)估設(shè)備以確保它使用了設(shè)備上最少的物理端口(例如USB端口) - 評(píng)估設(shè)備以確保它是否可以通過非預(yù)期的方法訪問��,例如通過不必要的USB端口 - 評(píng)估設(shè)備以確保它允許禁用未使用的物理端口(例如USB端口) - 評(píng)估設(shè)備以確保它是否包含僅將管理功能限制為本地端口的能力 |
一般建議 對(duì)于所有用戶界面(本地設(shè)備����、基于云的和移動(dòng)的)�,請(qǐng)考慮以下建議,避免潛在的賬戶隱患�����,請(qǐng)采用以下建議: 1. 確保不能通過接口錯(cuò)誤消息識(shí)別出有效的用戶賬戶 2. 確保用戶密碼需要強(qiáng)密碼 3. 在3-5次登錄失敗后鎖定賬戶 掃一掃加我微信��,入群一起討論交流各種開源測(cè)試技術(shù)�����、工具����、經(jīng)驗(yàn)和解決方案。
掃一掃��,加入答疑專用知識(shí)星球:66¥/年 大數(shù)據(jù)測(cè)試過程、策略及挑戰(zhàn)
大數(shù)據(jù)測(cè)試之ETL測(cè)試入門
軟件測(cè)試工程師又一大挑戰(zhàn):大數(shù)據(jù)測(cè)試 jmeter入門系列v1.0電子版
Python3接口測(cè)試pdf+源碼免費(fèi)領(lǐng) 快學(xué)Python3系列 順手點(diǎn)點(diǎn)點(diǎn)右下角的"好看"
|
