OWASP物联网项目旨在帮助制造商、开发人员和消费者更好地了解与物联网相关的安全问题,并使任何情况下的用户能够在构建、部署或评估物联网技术时做出更好的安全决策。
该项目旨在为各种物联网子项目定义一个结构,这些子项目分为以下类别-寻求和理解,验证和测试、和治理。现在,您可以找到以下活跃且即将推出的OWASP物联网项目:
物联网页面存档
不是你要找的吗?请看一下物联网页面档案.
启动新的物联网安全项目
想启动新的物联网安全项目吗?跟随https://www.owasp.org/index.php/类别:owasp_Project#Starting_a_New_Project或联系活动项目的领导之一。
寻求并理解
项目负责人
- 丹尼尔·迈斯勒
- 亚伦·古兹曼
- 维什鲁塔·鲁德雷什
- 克雷格·史密斯
描述
构建、部署或管理物联网系统时应避免的十大事项。
| 2018年OWASP物联网前10名 |
描述 |
| I1弱密码、可猜测密码或硬编码密码 |
使用容易被暴力破解的、公开可用的或不可更改的凭据,包括固件或客户端软件中的后门,授权对部署的系统进行未经授权的访问。 |
| I2不安全的网络服务 |
在设备本身上运行的不需要或不安全的网络服务,尤其是那些暴露在互联网上的服务,会损害信息的机密性、完整性/真实性或可用性,或允许未经授权的远程控制。 |
| I3不安全的生态系统接口 |
设备外部生态系统中不安全的web、后端API、云或移动接口,导致设备或其相关组件受损。常见的问题包括缺少身份验证/授权、缺少或弱加密以及缺少输入和输出过滤。 |
| I4缺乏安全更新机制 |
缺乏安全更新设备的能力。这包括缺乏设备上的固件验证、缺乏安全交付(在传输过程中未加密)、缺乏防回滚机制以及缺少由于更新而导致的安全更改通知。 |
| I5使用不安全或过时的部件 |
使用可能导致设备受损的弃用或不安全的软件组件/库。这包括操作系统平台的不安全定制,以及使用来自受损供应链的第三方软件或硬件组件 |
| I6隐私保护不足 |
存储在设备上或生态系统中的用户个人信息被不安全、不当或未经许可使用。 |
| I7不安全数据传输和存储 |
生态系统中任何位置的敏感数据都缺乏加密或访问控制,包括静止、传输中或处理过程中的敏感数据 |
| I8缺乏设备管理 |
生产中部署的设备缺乏安全支持,包括资产管理、更新管理、安全退役、系统监控和响应功能。 |
| I9不安全默认设置 |
带有不安全默认设置的设备或系统,或者缺乏通过限制操作员修改配置来提高系统安全性的能力。 |
| I10缺乏物理硬化 |
缺乏物理加固措施,使得潜在攻击者能够获取敏感信息,从而有助于未来的远程攻击或本地控制设备。 |
项目负责人
描述
提供2018年OWASP IoT前10名与行业出版物和姊妹项目的映射。
| 2014年OWASP物联网十大 |
OWASP IoT 2018年十大地图 |
| I1不安全的Web界面 |
I3不安全的生态系统接口 |
| I2身份验证/授权不足 |
I1弱密码、可猜测密码或硬编码密码
I3不安全的生态系统接口
I9不安全默认设置 |
| I3不安全的网络服务 |
I2不安全的网络服务 |
| I4缺少传输加密/完整性验证 |
I7不安全数据传输和存储 |
| I5隐私问题 |
I6隐私保护不足 |
| I6不安全的云接口 |
I3不安全的生态系统接口 |
| I7不安全的移动接口 |
I3不安全的生态系统接口 |
| I8安全可配置性不足 |
I9不安全默认设置 |
| I9不安全软件/固件 |
I4缺乏安全更新机制
I5使用不安全或过时的部件 |
| I10物理安全性差 |
I10缺乏物理硬化 |
项目负责人
- 亚伦·古兹曼
- Fotios Chantzis公司
- 保利诺·卡尔德龙
描述
IoTGoat是基于OpenWrt的故意不安全固件。该项目的目标是向用户介绍物联网设备中常见的最常见漏洞。漏洞将基于OWASP记录的前10个漏洞:https://wiki.owasp.org/index.php/OWSP_Internet_of_Things_Project.
发布
验证和测试
项目负责人
描述
OWASP物联网安全测试指南为物联网领域的渗透测试提供了一种全面的方法,提供了灵活性,以适应物联网市场的创新和发展,同时仍确保测试结果的可比性。该指南通过建立通用术语来理解物联网设备制造商和运营商以及渗透测试团队之间的沟通。
该方法、底层模型和测试用例目录提供了可以单独使用和相互结合的工具。
有关更多详细信息,请查看GitHub项目:https://github.com/OWASP/OWASP-istg
项目负责人
描述
固件安全测试方法(FSTM)由九个阶段组成,旨在使安全研究人员、软件开发人员、顾问、爱好者和信息安全专业人员能够进行固件安全评估。
| 阶段 |
描述 |
| 1.信息收集和侦察 |
获取与目标设备固件相关的所有相关技术和文档详细信息 |
| 2.获取固件 |
使用列出的一种或多种建议方法获取固件 |
| 3.分析固件 |
检查目标固件的特性 |
| 4.提取文件系统 |
从目标固件雕刻文件系统内容 |
| 5.分析文件系统内容 |
静态分析提取的文件系统配置文件和二进制文件中的漏洞 |
| 6.仿真固件 |
仿真固件文件和组件 |
| 7.动态分析 |
针对固件和应用程序接口执行动态安全测试 |
| 8.运行时分析 |
在设备运行时分析编译的二进制文件 |
| 9.二进制利用 |
利用先前阶段发现的已识别漏洞来执行根和/或代码 |
项目负责人
描述
ByteSweep是一个自由软件物联网安全分析平台。该平台将允许大大小小的物联网设备制造商在固件发货之前进行全自动安全检查。
项目负责人
描述
固件分析项目提供:针对“设备固件”攻击面中漏洞的安全测试指南,从各种固件文件中提取文件系统的步骤,搜索文件系统敏感数据的指南,固件内容静态分析信息,模拟服务的动态分析信息(例如web管理界面)、测试工具链接和用于汇集固件分析现有信息的网站
治理
物联网监管政策和认证目录
项目负责人
描述
待定