培训对象: 面向物联网安全研究人员、渗透测试人员、嵌入式开发工程师及物联网系统运维人员。适合需要掌握物联网设备安全测试、固件分析及攻击防御技术的专业人员。
培训目标: 系统掌握物联网安全攻防的核心技术与方法论,具备IoT设备信息收集、固件分析、硬件调试及无线通信协议分析的能力。能够识别物联网系统的常见安全漏洞,掌握从设备层到云平台的全方位攻防技术。
培训内容介绍:
物联网安全概述与威胁模型:学习物联网架构的三层模型(感知层、网络层、应用层)及各层面面临的安全威胁,建立物联网安全的整体威胁模型。
IoT设备信息收集技术:掌握IoT设备的物理接口识别(UART、JTAG、SPI、I2C)、固件获取方法及设备指纹识别技术。
固件分析与逆向工程:学习固件提取、解包、文件系统分析技术,掌握固件中的硬编码凭据、后门账户及敏感信息挖掘方法。
硬件调试与攻击技术:学习使用逻辑分析仪、JTAG调试器、示波器等硬件工具,掌握故障注入、侧信道攻击等高级硬件攻击技术。
无线通信协议安全分析:学习Wi-Fi、蓝牙/BLE、ZigBee、LoRa等无线协议的安全机制,掌握协议重放、嗅探、中间人攻击的测试方法。
物联网Web安全:学习物联网设备Web管理界面的常见漏洞(弱口令、命令注入、文件上传),掌握设备Web服务的渗透测试技巧。
物联网移动应用安全:学习与IoT设备配对的移动应用安全测试方法,掌握APP逆向分析、API接口测试及本地数据存储安全分析。
云平台与API安全:学习物联网云平台架构与API接口的安全测试方法,掌握身份认证绕过、权限提升及数据泄露的检测技术。
Mirai等僵尸网络分析:以Mirai等典型物联网僵尸网络为例,学习IoT设备被控原理、恶意软件传播机制及防御策略。
物联网安全防护技术:学习设备安全启动、固件签名、安全存储、安全更新等防护技术,掌握从设计阶段保障物联网安全的方法。
智能家居安全攻防:通过智能音箱、智能门锁、智能摄像头等典型设备,演练实际环境中的物联网安全测试。
工业物联网安全:学习工业物联网的特殊安全需求,掌握工业协议安全分析、边缘计算安全及工业物联网的纵深防御策略。
