国产精品久久久久久久久,四季AV一区二区夜夜嗨,日韩精品无码中文字幕电影,www.五月婷婷.com

據(jù)6AV6643-0AA01-1AX0 網(wǎng)站報(bào)道，對(duì)數(shù)百個(gè)可以公開獲得的路由器、DSL調(diào)制解調(diào)器、網(wǎng)絡(luò)電話、網(wǎng)絡(luò)攝像頭和其他嵌入設(shè)備的固件鏡像文件進(jìn)行的分析發(fā)現(xiàn)，其中許多固件都存在高風(fēng)險(xiǎn)的安全缺陷，這表明廠商沒有對(duì)產(chǎn)品的安全性進(jìn)行充分測(cè)試。
這項(xiàng)研究是由法國Eurecom研究中心和德國波鴻-魯爾大學(xué)的研究人員進(jìn)行的。他們開發(fā)了一個(gè)能對(duì)固件鏡像文件解壓縮、在模擬環(huán)境中運(yùn)行固件和啟動(dòng)嵌入式Web服務(wù)器的自動(dòng)平臺(tái)。
研究人員對(duì)來自54家廠商的嵌入式設(shè)備的1925款基于Linux的固件鏡像文件進(jìn)行了研究，但只成功地啟動(dòng)了其中6AV6643-0AA01-1AX0 服務(wù)器。他們認(rèn)為，通過對(duì)他們的平臺(tái)進(jìn)行調(diào)整，這一數(shù)字還會(huì)增加。他們的目標(biāo)，是利用開放源代碼滲透測(cè)試工具，對(duì)固件中基于Web的管理界面進(jìn)行動(dòng)態(tài)缺陷分析。結(jié)果研究人員在46個(gè)分析的固件鏡像文件中發(fā)現(xiàn)225個(gè)高危安全缺陷。
PCWorld表示，在測(cè)試中，研究人員把Web界面代碼分離出來，并在一個(gè)通用服務(wù)器上運(yùn)行這些代碼，在不模擬真實(shí)固件環(huán)境的情況下檢測(cè)缺陷。這一測(cè)試存在不足之處，但成功對(duì)515個(gè)固件鏡像文件進(jìn)行了測(cè)試，并發(fā)現(xiàn)其中的307個(gè)存在缺陷。
研究人員還利用另外一款開放源代碼工具，對(duì)從設(shè)備固件鏡像文件中提取的PHP代碼進(jìn)行了靜態(tài)分析，在其中的145個(gè)固件鏡像文件中發(fā)現(xiàn)9046個(gè)安全缺陷。研究人員通過靜態(tài)和動(dòng)態(tài)分析，在185個(gè)固件鏡像文件的基于Web的管理界面中發(fā)現(xiàn)重要的安全缺陷，例如命令執(zhí)行、SQL injection和跨站腳本攻擊，涉及54家廠商中約四分之一廠商的設(shè)備。
PCWorld稱，研究人員致力于開發(fā)一種可靠的方法，在不“接觸”相應(yīng)物理設(shè)備的情況下，自動(dòng)對(duì)固件鏡像文件進(jìn)行測(cè)試，而非對(duì)固件中的缺陷進(jìn)行完全掃描。他們沒有人工對(duì)代碼進(jìn)行分析，也沒有使用各種各樣的掃描工具對(duì)高級(jí)邏輯缺陷進(jìn)行分析。
這意味著他們發(fā)現(xiàn)的都是最容易被發(fā)現(xiàn)的問題，都是在任何標(biāo)準(zhǔn)化的安全測(cè)試中應(yīng)當(dāng)很容易被發(fā)現(xiàn)的缺陷。這就引發(fā)了一個(gè)問題：相關(guān)廠商為什么沒有發(fā)現(xiàn)和修正這些缺陷？
參與這項(xiàng)研究的研究人員安德烈·科斯廷（Andrei Costin）表示，情況似乎是這樣的：相關(guān)廠商要么沒有對(duì)代碼進(jìn)行安全測(cè)試，要么測(cè)試工作相當(dāng)馬虎。
科斯廷當(dāng)?shù)貢r(shí)間上周四在布加勒斯特舉辦的DefCamp安全會(huì)議上闡述了其團(tuán)隊(duì)的研究成果。這是對(duì)固件鏡像文件進(jìn)行的第二次大規(guī)模測(cè)試，去年，參與這項(xiàng)研究的部分研究人員就開發(fā)了相關(guān)方法，自動(dòng)檢測(cè)大量固件鏡像文件中的后門和加密問題。
PCWorld指出，在他們的測(cè)試中，部分固件不是最新版本，因此他們發(fā)現(xiàn)的缺陷并非全部是零日缺陷——之前沒有被發(fā)現(xiàn)、尚未修正的缺陷。但是，這一研究的影響仍然相當(dāng)大，因?yàn)榇蠖鄶?shù)用戶很少對(duì)嵌入式設(shè)備的固件進(jìn)行升級(jí)。
在DefCamp上，作為IoT Village的一部分，與會(huì)者受邀對(duì)4款物聯(lián)網(wǎng)設(shè)備進(jìn)行攻擊。與會(huì)者在一款智能視頻門鈴中發(fā)現(xiàn)2處危急缺陷，黑客可以利用這2處缺陷完全獲得設(shè)備的控制權(quán)。這款門鈴還能控制智能門鎖。
一款高端D-Link路由器的固件也存在一處缺陷。這一缺陷已經(jīng)被發(fā)現(xiàn)，并在新版固件中得到修正，但路由器沒有提醒用戶對(duì)固件進(jìn)行更新。
與會(huì)者還在Mikrotik的一款路由器中發(fā)現(xiàn)一處危險(xiǎn)性不高的缺陷。唯一保持金剛不壞之身的一款設(shè)備是Nest Cam。
這些缺陷的相關(guān)信息并未公開，因?yàn)镮oT Village組織者會(huì)首先向相關(guān)廠商通報(bào)被發(fā)現(xiàn)的缺陷，以便他們修正這些缺陷。
Yamatake Honeywell MX250RV01 VME Interface Board

Rofin 5-94.138/0 5-94.139/0 PCLD RETRO DUAL ISA

Agilent E2926-66503 E2926-66403 Mod and Ser Nbr

Siemens S5 6ES5 943-7UB21 CPU MODULE

Agilent 8498A High Power Attenuator DC to 18 GHz

GE Fanuc 90-30 PLC CPU350 IC693CPU350-DG 10 SLOT SYSTEM

Takatori ES-500 PG-207 CPU-216Q Motor Controller

KEYENCE SAFETY LIGHT CURTAIN SL-R11 SL-C16F SENSOR KIT

GE Fanuc 90-30 PLC CPU351 IC693CPU351-FN 10 SLOT SYSTEM

MODCOMP CPU VLAN-E PCB 25142 REV A2

MODCOMP CPU PCB 01-W3623B-03B 01 W3623B 03B

Agilent 5086-1702 3.6 GHz Diaelectric

OMS Oregon Micro Systems VS4 Board VS4-040

Pro-face GP477R GP477R-EG11 9" Operator Interface

Agilent E2675A Differential Browser

Agilent 8494B SMA Manual Step Attenuator 18 GHz 11dB

Navitar Zoom 6000 UltraZoom 60190 with Accessories

ZEISS AXIOTRON 452821-9002 POWER SUPPLY

Rofin 625-794770 Micro Controller Card

Ericsson PM3757U2 Raid Controller Fiber cha & quad eth

HILBERLING HG-101A RF-GENERATOR ROFIN SINAR QS-DRIVER