[发明专利]一种物联网设备固件安全性检测方法及装置

说明书

本发明提供一种物联网设备固件安全性检测方法，包括：获取待检测物联网设备的固件信息，所述固件信息包括固件ID，版本号；根据固件信息查找与其对应的启动文件、Web组件和漏洞信息；仿真模块根据查找到的启动文件和Web组件，进行web页面仿真，得到待检测Web页面；漏洞验证模块根据查找到的漏洞信息，按照漏洞信息中的漏洞编号和exp代码，来对仿真模块得到的待检测Web页面进行模拟攻击；获取模拟攻击后的结果信息，在所述结果信息中验证漏洞是否存在，如果确定存在漏洞，将所述固件信息、漏洞信息和结果信息进行显示。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种物联网设备固件安全性检测方法及装置。

背景技术

固件是一种写入硬件设备的软件，其作用是对应用和各项系统功能实施控制。固件中包含底层代码，这些代码能够帮助软件实现对硬件的操作。运行固件的设备一般为物联网设备，其运行嵌入式系统，嵌入式系统的硬件资源在存储能力以及内存等方面往往具有诸多限制。

现有技术中针对物联网设备固件分析的技术中，通常的做法就是对固件解包提取文件系统后，对其进行静态检测。在这类静态检测中，检测后输出的安全检测报告中的存在的相关如密钥问题、组件漏洞等并没有被验证过，期检测结果缺乏可信度。

发明内容

本发明的主要目的在于提出一种物联网设备固件安全性检测方法及装置，旨在解决如何提高物联网设备固件安全性验证准确性的问题。

为实现上述目的，本发明提供的一种物联网设备固件安全性检测方法，包括：

步骤1，获取待检测物联网设备的固件信息，所述固件信息包括固件ID，版本号；

步骤2，根据固件信息查找与其对应的启动文件、Web组件和漏洞信息；

步骤3，仿真模块根据查找到的启动文件和Web组件，进行web页面仿真，得到待检测Web页面；

步骤4，漏洞验证模块根据查找到的漏洞信息，按照漏洞信息中的漏洞编号和exp代码，来对仿真模块得到的待检测Web页面进行模拟攻击；

步骤5，获取模拟攻击后的结果信息，在所述结果信息中验证漏洞是否存在，如果确定存在漏洞，将所述固件信息、漏洞信息和结果信息进行显示。

其中，步骤1具体包括：获取用户上传的待检测物联网设备的固件文件，将固件文件中提取的文件系统解压到工作目录中，提取其中的固件信息；

其中，漏洞数据库中包括漏洞编号、exp代码和对应的固件ID和版本号：

其中，获取模拟攻击后的结果信息，在所述结果信息中验证漏洞是否存在，具体包括：获取模拟攻击后的仿真模块中的文件系统信息，在所述文件系统信息中查找到漏洞编号对应的文件夹名，如果查找到，则证明漏洞确定存在。

其中，如果验证漏洞不存在，则不对该漏洞信息进行显示。

本发明还提供了一种物联网设备固件安全性检测装置，包括：

获取模块，用于获取待检测物联网设备的固件信息，所述固件信息包括固件ID，版本号，并根据固件信息查找与其对应的启动文件、Web组件和漏洞信息；

仿真模块，用于根据查找到的启动文件和Web组件，进行web页面仿真，得到待检测Web页面；

漏洞验证模块，用于根据查找到的漏洞信息，按照漏洞信息中的漏洞编号和exp代码，来对仿真模块得到的待检测Web页面进行模拟攻击，并获取模拟攻击后的结果信息，在所述结果信息中验证漏洞是否存在，如果确定存在漏洞，将所述固件信息、漏洞信息和结果信息进行显示。

其中，所述获取模块具体包括：获取用户上传的待检测物联网设备的固件文件，将固件文件中提取的文件系统解压到工作目录中，提取其中的固件信息；