cc防御_香港cdn高防ip_云网站服务器ddos防护-51首防安全

当前位置:主页 > 服务器防御 > 本文内容

ddos清除_备案_佛山服务器高防

发布时间:2021-02-24 11:02源自:51首防安全作者:51首防安全阅读()

ddos清除_备案_佛山服务器高防

祝你圣诞快乐!每年,我们都会用12篇关于黑客攻击相关话题的博客文章和一年来的综述来纪念哈克斯的12天。今年,我们突出了一些我们想回馈社会的"礼物"。虽然这些礼物可能不是用蝴蝶结包装的,但我们希望你能喜欢。随着年底的结束,我发现反思2016年进行的物联网脆弱性研究以及我们从中吸取的教训非常重要。2016年,Rapid7员工开展了多个激动人心的物联网脆弱性研究项目,涵盖了从照明自动化解决方案到医疗设备的方方面面。通过这项研究,我们希望将更多物联网安全信息的"礼物"送给社区。本着庆祝节日的精神,让我们回顾并庆祝这些项目和一些更有趣的发现。康卡斯特XFINITY家庭安全系统2016年,Comcast XFINITY家庭安全系统研究项目于2016年1月发布。Phil Bosco是Rapid7全球服务笔测试团队的一员,他将自己的XFINITY家庭安全系统作为目标进行评估。在测试过程中,Phil发现,通过在Zigbee通信协议使用的2.4 GHz射频频段内造成故障,Comcast XFINITY家庭安全系统将无法打开,基站无法识别或警报与组件传感器的通信故障。这个有趣的发现告诉我们,如果与系统传感器的通信中断,系统将无法识别丢失的通信。此外,当传感器检测到车门或车窗打开等情况时,此故障也会阻止系统正确报警。此漏洞允许任何能够中断传感器和基站之间的2.4 GHz Zigbee通信的人有效地使系统静音。康卡斯特已经解决了这个问题。欧司朗西尔瓦尼亚照明自动化照明由于自动照明变得非常流行,ddos防御与入侵防护区别,我决定研究一下欧司朗西尔瓦尼亚照明自动化照明解决方案。这个研究项目包括观察家庭版和专业版(企业版)。这个项目最终总共揭露了9个问题,4个在家庭版,类似奇安信的高防cdn,5个在专业版。Pro版本的结果最有趣,包括识别持久跨站点脚本(XSS)和弱默认WPA2预共享密钥(psk)的问题。我们发现的XSS漏洞有两个切入点,最有趣的一个是带外注入,使用WiFi服务集标识符(SSID)将XSS攻击传递到Pro web管理界面。我在周三录制的一段白板视频中对这种攻击传递方法进行了很好的解释。接下来,我认为最令人担忧的是WPA-PSK问题。默认密码最近一直是物联网的祸害。尽管在这种情况下,每个Pro设备生产的默认密码都是不同的,但对wpapsk的仔细检查发现,它们很容易被破解。这是怎么发生的?好吧,在这个例子中,PSK只有8个字符,这对于PSK来说是非常短的,而且它只使用十六进制小写的字符(abcdef0123456789),这使得组合或密钥空间的数量更容易暴力,并且允许恶意行为体捕获身份验证握手并强制执行它只需几个小时就可以下线。蓝牙低能量(BLE)跟踪器你有没有对那些小的蓝牙低能量(BLE)跟踪器软件狗感到好奇,你可以挂在你的钥匙链上,如果你把钥匙放错了,它可以帮你找到你的钥匙吗?我也是,但我的兴趣更进一步,后来找到了我丢失的钥匙。我很感兴趣的是它们是如何工作的,如果有的话,它们的使用或滥用会带来什么安全问题。我购买了几个不同的品牌,并开始测试他们的生态系统,是的,生态系统,这是使物联网解决方案发挥作用的所有服务,通常包括硬件、移动应用程序和云API。这些设备最吸引人的一个方面是群组GPS概念。这是怎么回事?假设你把一个装置装在你的自行车上,它就被偷了。每一次,当自行车靠近某一特定产品的另一个用户时,他们的手机就会检测到你在自行车上的加密狗,并将GPS位置发送到云端,让你识别它的位置。有点整洁,我希望如果你有一个用户饱和度很高的区域,它会很好地工作,但是如果你生活在一个农村地区,那么同样有效的机会就更少了。在这个项目中,我们发现了几个与跟踪标识符和GPS跟踪相关的有趣的漏洞。例如,我们发现设备的跟踪ID很容易识别,并且在一些情况下与BLE物理地址直接相关。再加上一些云API漏洞,ddos入侵防御方法,我们就可以通过用户设备的GPS来追踪他们。此外,在一些情况下,我们可以毒害其他设备的GPS数据。通过弱BLE配对,我们还可以访问一些设备,并对它们进行重命名,并触发它们的位置警报,从而耗尽设备的小电池。Animas OneTouch Ping胰岛素泵Rapid7的Jay Radcliffe是Rapid7的全球服务团队成员和安全研究员,他在测试animasonetouch Ping胰岛素泵时发现了几个令人着迷的漏洞。杰伊以他的医疗器械研究而闻名,因为他是糖尿病患者,ddos攻击防御代码,这与他的个人因素有关。在Animas OneTouch的案例中,Jay发现并报告了三个漏洞,包括明文通信、远程和泵之间的弱配对以及重放攻击漏洞。在这个研究项目中,确定这些漏洞可能被用来远程分发胰岛素,这可能会影响使用者的安全和健康。Jay与制造商密切合作,帮助为这些漏洞创建有效的缓解措施,可用于减少或消除风险。在整个项目中,Jay、Rapid7和强生公司之间有着积极的合作,患者在披露前都得到了通知。结论:退一步,全面审视这些研究项目中发现的所有漏洞,我们可以发现一个共同问题的模式,包括:缺乏通信加密设备配对不良存储在移动应用程序中的机密数据(如密码)重播攻击漏洞弱默认密码易受常见web漏洞攻击的云API和设备管理web服务这些发现并不令人惊讶,DDos防御方案有哪些,似乎是我们在研究物联网产品生态系统时经常遇到的问题。那么解决这些问题的办法是什么呢?首先,物联网制造商可以轻松地在这些领域应用一些基本测试,以便在产品上市之前快速识别和修复产品的漏洞。其次,我们作为终端用户可以更改默认密码,例如标准登录密码和WiFi-WPA-PSK,以保护我们的设备免受多种形式的危害。还需要注意的是,这些物联网研究项目只是Rapid7及其员工在确保物联网世界安全方面所做贡献的几个例子。这些研究项目使我们能够不断扩大我们对物联网安全性和脆弱性的认识。通过与供应商密切合作来识别和缓解问题,我们可以继续帮助这些供应商扩展他们的安全工作知识,这些知识将流入未来的产品中。我们的工作还允许我们与消费者分享这些知识,以便他们能够做出更好的选择,并减轻物联网产品中常见的风险。

欢迎分享转载→ ddos清除_备案_佛山服务器高防

用户评论

验证码: 看不清?点击更换

注:网友评论仅供其表达个人看法,并不代表本站立场。

Copyright © 2002-2019 51首防安全 版权所有 备案号:粤ICP备xxxxxxxx号收藏本站 - 网站地图 - - -