开发者社区> 问答> 正文

IoT固件安全检测有哪些检测风险?

IoT固件安全检测有哪些检测风险?

展开
收起
保持可爱mmm 2020-03-27 15:40:28 655 0
1 条回答
写回答
取消 提交回答
  • 检测结果统计的key为“risks”,类型为JSONArray,格式如下:

    "risks": [ { "name": "", "code": "", "enCategory": "", "category": "", "description": "", "suggestion": "", "vulnInfos": [ { "severity": "", "filename": "", "detail": [], "cve": {} } ] } ]

    字段定义如下: 字段 类型 描述 name String 风险类型中文名称 code String 风险类型英文名称或风险类型代码 category String 风险类型分组中文名称 enCategory String 风险类型分组英文名称 description String 风险描述 suggestion String 修复建议 vulnInfos JSONArray 风险详细情况列表

    VulnInfo定义如下: 字段 类型 描述 filename String 受影响的文件名 severity String 风险安全等级 detail JSONArray 风险详细描述,不同风险描述也不相同 cve JSONObject CVE漏洞列表,只有当前分组为CVE漏洞(CveVuln),该字段才有效。

    detail字段,保存检测到的非CVE漏洞的详细信息,定义如下: 字段 类型 描述 cnName String 详细信息的中文描述名 enName String 详细信息的英文描述名 value JSONArray 风险详细信息,以JSONArray 存储。

    cve字段,保存检测到的CVE漏洞的详细信息,定义如下: 字段 类型 描述 cveId String CVE漏洞标识 cweId String CVE漏洞类型标识

    impact JSONObject 定义漏洞攻击向量、风险等级等。优先使用cvssV3,其中vectorString为攻击向量、severity为风险等级。 cpe JSONObject 为Common Platform Enumeration的缩写,描述软硬件产品的唯一标识符。 参考下面的cpe结构说明。 description String 漏洞描述信息。 references JSONArray 参考信息。其中referenceType为参考类型,referenceSource为参考源,referenceUrl为参考链接地址。

    cpe结构说明:

    "cpe": { "cpeName": "", "cpeType": "", "allFixedVersion": { "expression": "", "version": "" }, "highCriticalFixedVersion": { "expression": "", "version": "" } }

    说明 其中cpeName为cpe名称,cpeType 为cpe类型。

    allFixedVersion为修复当前版本所有漏洞,需要升级到的版本建议。其中version表示版本号,expression表示version包含关系,如果为“>”表示需要升级到在大于version的版本;如果为”>=“表示需要升级到在大于或等于version的版本。

    如果version为空,表示目前还没有可用的修复版本号。highCriticalFixedVersion,为修复当前版本中严重、高危漏洞,需要升级到的版本建议。

    2020-03-27 15:42:27
    赞同 展开评论 打赏
问答分类:
问答标签:
问答地址:
问答排行榜
最热
最新

相关电子书

更多
高精度北斗 定位IoT时代 立即下载
无中生有:基于骨干网全量应用识别的威胁情报基础数据采集 立即下载
无中生有-基于骨干网全量应用识别的威胁情报基础数据采集 立即下载