@时光机
2年前 提问
1个回答
物联网防止注入攻击的办法有哪些
安全侠
2年前
物联网防止注入攻击的办法有:
尽可能避免直接进行OS调用。
如果需要的话,建立可接收命令的白名单,并在命令执行之前对所接收的输入加以验证。
如果用户输入的字符串可能传递给操作系统,那么可以“采用编号-命令字符串”的方式对用户输入进行映射,例如{1:ping-c 5}。
对代码进行静态分析,当代码用到os.system()等OS命令时需格外留意。
默认所有的用户输入都是不可信的,并将返回给用户的数据以转义字符的形式进行输出。(例如,将&转义为&,将<转义为<,将>转义为>等)。
针对XSS漏洞,使用X-XSS-Protection和Content-Secur。
确保在量产的固件版本中禁用了带有命令执行功能的调试接口。