Skip to Main Content
物联网设备安全
book

物联网设备安全

by Nitesh Dhanjani
March 2017
Intermediate to advanced content levelIntermediate to advanced
262 pages
5h 26m
Chinese
China Machine Press
Content preview from 物联网设备安全
模糊的界限
——
当物理空间遇到虚拟空间
101
明文密码重置链接
SmartThings
应用程序发送的明文密码传送链接,能够被黑客用作用户登录凭据。如
4-10
所示,要求密码重置的用户发送密码恢复电子邮件,邮件内包含一个可点击的链
接(如图
4-9
所示)。这个链接(如前面所述以网页
http://mandrillapp.com/track/
click/30028387/graph.api.smartthings.com
的形式呈现)没有使用安全传输层协议
TLS
),而是以明文的方式通过本地网络和国际互联网。
用户被重新定向到一个使用
TLS
的链接(如前面所述以网页
https://graph.api.
smartthings.com/register/resetPassword
的形式呈现)。然而,任何接入局域
WiFi
网络的人,都能够获取到用户点击的原始链接,如咖啡馆的公共无线网络,攻击者一旦
获取该链接,便可以在受害者更改密码之前重置密码。密码重置后,密码重置链接就失
效了,用户必须提交新的请求。
在这种情况下,可以提出一个论点,对潜在攻击者来说,在咖啡馆等待受害者忘掉自己
的密码并提交一个重置申请来说是困难的。然而,一个有针对性的攻击,攻击者和受
害者在同一无线网络中,攻击者能够以用户的名义提交请求进行初始化密码重置,如图
4-9
所示。受害者很可能惊讶密码重置邮件,但尽管如此,可能会认为是
SmartThings
统故障并继续重置过程,在这种情况下,攻击者获取初始链接并接管该账户。除此之外,
在受害者和
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.
Start your free trial

You might also like

数据科学之编程技术:使用R进行数据清理、分析与可视化

数据科学之编程技术:使用R进行数据清理、分析与可视化

迈克尔 弗里曼, 乔尔 罗斯
手把手教会你linux

手把手教会你linux

桑德.范.乌格特
C语言核心技术(原书第2版)

C语言核心技术(原书第2版)

Peter Prinz, Tony Crawford

Publisher Resources

ISBN: 9787111558668