【技术实现步骤摘要】
一种物联网设备固件安全性检测方法及装置
[0001]本专利技术涉及信息安全
,尤其涉及一种物联网设备固件安全性检测方法及装置。
技术介绍
[0002]固件是一种写入硬件设备的软件,其作用是对应用和各项系统功能实施控制。固件中包含底层代码,这些代码能够帮助软件实现对硬件的操作。运行固件的设备一般为物联网设备,其运行嵌入式系统,嵌入式系统的硬件资源在存储能力以及内存等方面往往具有诸多限制。
[0003]现有技术中针对物联网设备固件分析的技术中,通常的做法就是对固件解包提取文件系统后,对其进行静态检测。在这类静态检测中,检测后输出的安全检测报告中的存在的相关如密钥问题、组件漏洞等并没有被验证过,期检测结果缺乏可信度。
技术实现思路
[0004]本专利技术的主要目的在于提出一种物联网设备固件安全性检测方法及装置,旨在解决如何提高物联网设备固件安全性验证准确性的问题。
[0005]为实现上述目的,本专利技术提供的一种物联网设备固件安全性检测方法,包括:步骤1,获取待检测物联网设备的固件信息,所述固...
【技术保护点】
【技术特征摘要】
1.一种物联网设备固件安全性检测方法,其特征在于,包括:步骤1,获取待检测物联网设备的固件信息,所述固件信息包括固件ID,版本号;步骤2,根据固件信息查找与其对应的启动文件、Web组件和漏洞信息;步骤3,仿真模块根据查找到的启动文件和Web组件,进行web页面仿真,得到待检测Web页面;步骤4,漏洞验证模块根据查找到的漏洞信息,按照漏洞信息中的漏洞编号和exp代码,来对仿真模块得到的待检测Web页面进行模拟攻击;步骤5,获取模拟攻击后的结果信息,在所述结果信息中验证漏洞是否存在,如果确定存在漏洞,将所述固件信息、漏洞信息和结果信息进行显示。2.如权利要求1所述的方法,其特征在于,其中,步骤1具体包括:获取用户上传的待检测物联网设备的固件文件,将固件文件中提取的文件系统解压到工作目录中,提取其中的固件信息。3.如权利要求1所述的方法,其特征在于,其中,漏洞数据库中包括漏洞编号、exp代码和对应的固件ID和版本号。4.如权利要求1所述的方法,其特征在于,其中,获取模拟攻击后的结果信息,在所述结果信息中验证漏洞是否存在,具体包括:获取模拟攻击后的仿真模块中的文件系统信息,在所述文件系统信息中查找到漏洞编号对应的文件夹名,如果查找到,则证明漏洞确定存在。5.如权利要求1所述的方法,其特征在于,其中,如果验证漏洞不存在,则不对该漏洞信息进行显示。6.一种物联网设...
【专利技术属性】
技术研发人员:杜雄杰,
申请(专利权)人:苏州知微安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。