首页 >> 新闻资讯 >

物联网开放平台安全威胁(下)

来源:朗创物联网软件公司 | 时间:2022-04-22 12:36:55 | 浏览: 0

     本文是第二部分,可以在上面阅读:物联网开放平台的安全威胁(第一部分)。

    6.网络安全威胁

    目前,web应用系统面临的主要风险如下。

    (1) 网络层攻击:使用工具和技术通过网络攻击和入侵系统。互联网的开放性、国际性和自由性决定了网络应用系统所面临的来自网络层面的威胁是非常复杂和严重的。主要的网络层威胁包括:

    ① 最高风险:DDoS攻击,导致网络瘫痪和系统不可用。DDoS攻击是一种非常典型的网络层威胁,可分为两类。

    ·带宽耗尽攻击:通过发送大量数据包,设备负载过高,最终耗尽网络带宽或设备资源。通常,被攻击路由器、服务器和防火墙的处理资源是有限的。在攻击负载下,它们无法处理正常和合法的访问,从而导致拒绝服务。

    ·应用攻击:利用TCP或HTTP协议的某些特性,通过持续占用有限的资源来阻止目标设备处理正常的访问请求,如HTTP半开放攻击和HTTP错误攻击。

    ② 漏洞检测:通过分析已知漏洞,向应用程序或系统提交特定格式的字符串,

    并分析返回的结果,以确定应用程序或系统是否存在漏洞。该漏洞可用于获取具有该漏洞的设备的控制权,从而进一步攻击系统。

    ③ 嗅探(账号、密码、敏感数据等):通过将网卡设置为混合模式,网卡可以接收任何流动数据,导致敏感信息泄漏,并被用于控制网络或系统。

    (2) 应用层攻击:利用web系统的漏洞对应用程序本身进行的攻击。应用程序级别的漏洞,

    主要体现在web应用软件开发中引入的弱点,

    尤其是在架构设计和编码阶段。web应用程序的安全威胁如下。

    ① 最高风险:对应用程序本身的DoS攻击可能导致系统瘫痪。攻击者通过构造大量无效请求或利用系统漏洞构造非法请求,耗尽了web服务器的资源或带宽,导致web服务器崩溃,使web服务器无法响应正常用户的访问。

    ② SQL注入:由于应用程序对通过SQL语句提交的用户输入内容缺乏必要的过滤机制,攻击者可以在输入内容中添加SQL语句和参数,从而实现数据库操作,

    例如查询、插入、修改等,以获取一些敏感信息或控制整个服务器。

    ③ 跨站点攻击:由于开发人员在编程过程中没有完全过滤某些变量,或者在没有任何过滤的情况下直接在服务器上执行用户提交的数据(如JavaScript等脚本代码),导致跨站点攻击,然后泄露敏感信息,被人控制,病毒入侵访客系统等。

    ·方法1:在web应用程序中,当用户提交数据与服务器交互时,攻击者会在用户提交的数据中隐藏恶意脚本,并破坏服务器的正常响应页面。

    ·方法2:

    通过社会工程等手段诱使用户点击访问虚假页面,窃取用户信息,下载恶意脚本。

    ④ 网站挂马:攻击者将恶意代码插入服务器。当用户访问恶意页面时,页面中嵌入的恶意代码会触发客户端的漏洞,从而自动下载并执行恶意程序,用特洛伊木马感染网站,入侵访问者系统。

    ⑤ 控制Web服务:攻击者利用安全漏洞访问受限目录,并在Web服务器的根目录外执行命令。可以进一步利用该漏洞控制服务器,

    以便进一步控制系统。

    ⑥ 用户认证强力破解:由于认证强度低于业务安全要求,

    攻击者可以通过穷举手段自动猜测用户登录凭据、会话标识符以及未发布的目录和文件名(如临时文件、备份文件、日志、配置文件)。

    (3) 内容安全

    ·网页篡改:利用应用层漏洞进行网页篡改攻击,并将网页内容非法篡改为其他非法内容,甚至产生严重社会影响的行为。

    ·非法内容:如不良内容,

    在网站论坛上发布攻击他人的非法信息或恶意程序。

    7.内容安全威胁

    (1) 内容不合规和传播不良信息。内容提供商和服务提供商利用平台提供的网络用户交互界面传播不良信息、非法信息、低俗信息和垃圾信息,并向公众发布,违反国家法律或引起用户投诉。

    (2) 泄露敏感信息。由于缺乏有效的加密机制和安全存储,攻击者可以获取用户身份验证信息、用户隐私数据等敏感信息。

    (3) 内容完整性。

    ·攻击者使用恶意手段篡改网页内容。

    ·攻击者在网页中植入了恶意代码。

    ·相关服务器和客户端网络设备丢失数据。

    ·存储介质老化或质量问题会导致不可用,从而导致数据丢失。

    8.平台运营管理安全威胁

    (1) 滥用管理权。管理权的定义不合理。例如,管理员同时拥有管理权限和业务审计权限,权限定义过大,无法满足主管工作的需要;系统操作权限定义(如审批管理员)过低。

    滥用职权进行高安全系统操作,导致滥用职权进行业务操作,影响业务的正常发展,获取重要信息。

    (2) 伪造帐号和身份。恶意第三方可以使用业务系统的端口直接从外部登录,

    或外部登录的安全风险(如窃取cookie),并通过窃取系统用户和业务用户的身份登录。

    (3) 账户暴力破解。对于管理员帐户,恶意管理员可以利用身份验证机制中缺乏错误限制等漏洞,通过暴力破解和字典攻击猜测用户密码,

    非法使用用户账号登录和操作系统。

    (4) 商业数据泄露。商业管理终端上的间谍软件通过监视键盘输入、端口监视和读取特定文件来获取用户或服务器的机密信息,并将其发送给攻击者,从而通过出售数据或假装以用户身份登录来获取利益。

    (5) 系统软件缺陷。攻击者利用软件编译机制的漏洞对代码进行逆向工程,获取软件保护的机密信息(如主密钥),破坏整个业务系统的安全机制;或者修改软件代码,

    恶意扣费、获取用户机密信息,损害用户合法权益,影响业务正常发展。

    (6) 密钥泄露/破解。攻击者利用管理密钥长期未更新的漏洞,利用泄露的密钥对系统的安全数据进行解密,然后进行非法操作或出售业务数据,损害用户的合法权益。

    黑客或攻击者使用的密钥生成机制过于简单(例如,密钥是连续数字或密钥是用户名的简单转换),通过可用密钥或其他信息推测用户密钥信息,

    然后通过密钥对机密数据进行身份验证或解密。

    

    

城市分站

在线咨询
QQ咨询
服务热线
服务热线:18530930310
TOP
点击拨打电话