本书介绍物联网渗透测试的原理和实用技术。主要内容包括IOT威胁建模、固件分析及漏洞利用、嵌式web应用漏洞、IOT移动应用漏洞、IOT设备攻、无线电侵、固件安全和移动安全*佳实践、硬件保护以及IOT高级漏洞的利用与安全自动化。<br/>【推荐语】<br/>今天,IoT已经成为信息产业的主要发展方向,市场上出现了大量IoT设备,但是人们对如何保障这些IoT设备的安全知之甚少。对于从事网络安全研究或技术工作以及从事渗透测试工作的读者,本书将帮助你了解如何对IoT设备展渗透测试并行安全加固。 本书依据针对IoT设备展渗透测试的各个攻面,为读者提供保护IoT中的智能设备的实践经验。本书首先介绍如何分析IoT设备架构并挖掘设备漏洞,然后聚焦于展IoT设备渗透测试所需要的各种技术,帮助读者了解如何展IoT设备漏洞利用,以及如何挖掘IoT设备固件漏洞。在此基础上,讲解如何保障IoT设备的安全。本书还以ZigBee和Z-Wave等协议为例,介绍基于软件定义和无线电的IoT渗透测试方法等高级硬件渗透测试技术。*后,本书介绍了如何采用新型以及较为特殊的渗透技术针对不同的IoT设备(包括连至云上的智能设备)展渗透测试。 本书主要内容: 部署IoT渗透测试环境 各种威胁建模概念 对固件漏洞展分析与漏洞利用 基于MobSF对iOS与Android平台下应用的二制文件展自动化分析 部署Burp Suite工具并展Web应用测试 识别UART和JTAG口的引脚定义、焊头以及硬件调试口 针对常用无线协议的测试方案 移动应用安全和固件安全的实践 掌握各种高级IoT漏洞利用技术与自动化安全测试技术<br/>【作者】<br/>作者简介 Aaron Guzman是洛杉矶地区知名的安全顾问,在Web应用安全、移动应用安全以及嵌式设备安全领域具有丰富的经验。Aaron Guzman在众多国际会议以及一些地区性会议上分享过他的安全研究成果,这些国际会议包括DEF CON、DerbyCon、AppSec EU、AppSec USA、HackFest、Security Fest、HackMiami、44Con以及AusCERT等。此外,Aaron是放式Web应用程序安全项目(Open Web Application Security Project,OWASP)洛杉矶分会与云安全联盟(Cloud Security Alliance,CSA)南加利福尼亚分会的负责人,还是Packt出版的《Practical Internet of Things Security》一书的技术审稿人。他为CSA、OWASP、PRPL等组织出版发行的很多IoT安全指南类书籍提供过帮助。Aaron主持了OWASP嵌式应用安全项目,为嵌式与IoT社区解决常见的固件安全漏洞提供了卓有成效的指导。读者可以关注Twitter账号@scriptingxss了解Aaron的*新研究展。 这里向本书的读者致以特别的谢意,希望这本书能够对他们展IoT安全研究以及渗透测试有所帮助。 Aditya Gupta是IoT与移动安全公司Attify的创始人,同时也是IoT和移动安全研究员。他发了广受欢迎的培训课程Offensive IoT Exploitation(IoT漏洞利用技术),同时也是黑客在线商店Attify-Store的创始人。 Gupta文能提笔写论文,武能编码写工具,并多次在BlackHat、DefCon、OWASP AppSec、ToorCon等国际会议上发表演讲。 在过往的经历中,Gupta曾与多个机构合作,帮助它们构建安全架构,发内部自动化检测工具,挖掘Web和移动应用漏洞,主持制订安全规划方案等。 读者可以通过Twitter账号@adi1391或邮箱adityag@attify.com联系Gupta。 我要感谢我的父母和姐姐,感谢他们为我提供了成功所必需的支持和动力,并让我对于“世间万物的运作机制”充满了好奇,这推动着我日复一日地追求自己钟爱的事业。 *后也是*重要的是,感谢Attify公司的同事—非常幸运能够同*好的渗透测试人员、逆向分析师和擅长解决问题的人们一起共事—正是在大家的通力协作下我们攻克了几乎所有的IoT设备。你们是*棒的!<br/>
評論0