来自 防护 2021-10-11 13:21 的文章

cc攻击防御_防御ddos攻击方法_解决方案

cc攻击防御_防御ddos攻击方法_解决方案

毫无疑问,当今的消费者倾向于选择便利而非安全。当一款旨在让我们的生活更轻松的闪亮的新玩意儿进入消费市场时,购买者往往会抓住机会购买并付诸行动。不幸的是,每一个新的互联网连接小工具都会给用户带来一系列可能的安全问题和隐私问题。作为Checkmarx安全研究团队正在进行的研究的一部分,最近,低价法国高防cdn,他们正在调查一些物联网设备,包括Trifo的Ironpie M6智能吸尘器。由于该设备有一个摄像机,研究小组对测试真空吸尘器的安全性和隐私性很感兴趣。根据Trifo的说法,铁饼是"一个AI驱动的机器人真空吸尘器,它能像吸尘器一样吸尘灰尘,面包屑,甚至沙子",它声称"它的任务是清洁和保护你的家,这样你可以做更重要的事。"。我让你的家远离灰尘、灰尘、碎屑、沙子等等;我还使用我先进的视觉系统来阻止入侵者。我总是很警觉,工作时从不睡觉。"Trifo可以通过WiFi连接到互联网上,并且可以远程控制用于吸尘,以及远程视频流观看,因为它包含了一个摄像机。将摄像机连接到互联网上的安全问题应该是显而易见的,这也是这项研究背后的动机之一。经过研究小组的调查,发现了几个高、中严重程度的安全漏洞。这些漏洞的摘要见下表。这些漏洞可能会使Ironpie的用户面临风险,应该尽快修复。我们团队利用发现的漏洞的视频可以在这里找到。 脆弱性CVSS 3.0矢量CVSS评分Trifo Home Android应用程序不安全更新 AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N 8.5MQTT远程访问 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N 8.2MQTT不安全加密AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H8.1RTMP远程视频访问 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 7.5铁皮本地视频接入 AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 6.5真空拒绝服务  AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 6.5在这项研究中,发现了几个漏洞和不良的编码实践。其中一些是没有实际用例的弱安全实现,而另一些则表现出对自称安全产品的严重安全立场的严重误导,比如Trifo。有3个潜在故障区域需要了解。在使铁皮生态系统发挥作用的每个组件中都可以找到问题:真空本身,Android移动应用程序,及其支持的后端服务器。发现问题汇总Trifo Home Android应用程序不安全更新trifoandroid应用程序名为trifohome,在常见的Android编程错误方面基本上是安全的,除了一个关键的过程:更新过程。更新是以非标准的方式进行的(例如,物理服务器防御ddos,不是通过googleplay商店)由于Trifo应用程序在应用程序开始向更新服务器查询新的APK(android包,.APK)时使用HTTP请求,攻击者可以监视并轻松更改传输中的请求,并强制应用程序将自身更新到由攻击者控制的恶意版本。MQTT远程访问MQTT是一种机器到机器(M2M)IoT连接协议。它被设计成一个非常轻量级的发布/订阅消息传输。对于Trifo,支持的MQTT服务器是Trifo真空、后端服务器和trifohome应用程序之间的桥梁。服务器用于提供和接收部署的vacuums事件,然后将这些事件传递到相应trifohome应用程序的图形用户界面(GUI)。由于缺乏适当的身份验证机制,攻击者可以模拟任何客户机ID连接到MQTT服务器,这很容易预测。MQTT不安全加密Android应用程序在SSL上使用MQTT,而Ironpie真空通过未加密的连接连接连接到MQTT服务器,交换一些数据包,ddos防御接入,然后对MQTT负载进行加密。这基本上允许攻击者计算任何客户端ID。根据这一知识,有可能:一个远程攻击者监视进入铁饼的流量,因为他可以订阅并获取任何MAC地址的流量,cc防御工具,这很容易猜测。这包括可以用来解密所有流量的dev_密钥。本地攻击者还可以模拟MQTT服务器,从而完全控制真空。RTMP视频源访问远程攻击者可以通过MQTT访问信息,例如真空连接到的网络的SSID,获取内部真空IP地址、其MAC地址和其他信息。利用这些信息,攻击者可以获得一个密钥,使他们能够访问所有连接的、工作的、铁皮真空的视频源,而不管它们位于何处。披露和事件摘要当这些漏洞首次被发现时,我们的研究团队确保它们能够重现利用这些漏洞的过程。一旦这一点得到证实,Checkmarx研究团队负责地通知Trifo他们的发现。在Checkmarx安全研究团队多次尝试打开与Trifo的通信线路,ddos防御工具下载,与发现的漏洞有关,Trifo没有对我们的任何努力做出回应。研究团队最初于2019年12月16日联系Trifo,并公开与他们分享研究结果的完整报告。据Checkmarx研究团队所知,Trifo铁饼生态系统中仍然存在漏洞。因此,团队目前没有发布任何关于漏洞的额外技术信息,以确保Checkmarx不会让Trifo Ironpie用户处于不必要的风险中。如果Trifo修补了这些漏洞,Checkmarx将发布一份更为可靠的技术报告,概述我们如何利用这些问题,因为我们相信这里面有很大的学习价值,有助于为更安全的设备开发铺平道路。最后的话这类研究活动是我们持续努力的一部分,目的是推动制造基于消费者的物联网设备的供应商之间软件安全实践的必要变化,同时在购买和使用这些设备的消费者中带来更多的安全意识。保护消费者和组织的隐私必须是我们所有人在当今日益紧密联系的世界中的优先事项。在这里阅读更多来自Checkmarx安全研究团队的研究。API安全应用程序安全警告应用程序安全漏洞检查马克思安全研究团队易受攻击的物联网对象生物最新帖子佩德罗·乌贝利诺安全研究员佩德罗白天是安全研究员,晚上是哈卡迪撰稿人。他开始摆弄频谱上的电脑,看着公告牌系统被扔到互联网上,但他仍然在IRC里四处游荡。众所周知,他喜欢各种黑客,硬件和软件。Pedro Umbelino的最新帖子NFC假标签漏洞–CVE-2019-9295-2019年10月24日NFCdrip:近场通信数据过滤研究-2018年12月14日