编者按：本文节选自华章网络空间安全技术丛书《物联网渗透测试》一书中的部分章节。

IoT中的Web应用

网站，也称为Web应用，已经无须对其进行过多的介绍了。基本的Web应用程序通常最少由前端HTML页面、JavaScript脚本、1台后台Web服务器、1台应用程序服务器和1套数据库组成。随着Web应用的发展，为了降低后端架构或设备的计算载荷，Web应用程序开始更多地依赖JavaScript脚本等前端代码。但是运行在互联网中的Web应用同运行在嵌入式设备中的Web应用略有不同。

读者所熟悉的Web应用组件之间存在更多的依赖关系，因为常见的Web应用会将Web服务器、应用服务器、数据库服务器以及后台运行的微服务进行分离。其中服务器的分离是出于性能和可用性等方面的考虑。而通常嵌入式Web应用被设计为在自包含的环境中运行。从更深层次上来说，也就是对嵌入式Web应用的性能和可用性方面关注较少。

目前IoT领域中主要有两种不同的Web应用模型，分别是混合云模型与独立嵌入式服务器模型。混合云模型中包含了厂商或者供应商提供的基于软件即服务（Software as a Service，SaaS）的Web应用，作用是同运行在嵌入式设备固件中的Web应用程序建立连接，然后，将数据从厂商的云服务器中同步到本地网络的嵌入式设备中。有些IoT设备则会直接使用IoT云服务提供商的SDK，例如AWS提供的IoT SDK和Azure提供的IoT SDK，并且将这些SDK编译进设备的Web应用程序栈中。为了确保符合机构的服务条款并且遵循所在区域的法律规范，混合云模型的识别非常重要。许多采用混合云模型的IoT公司经常以OEM的方式借助第三方软件开发公司或ODM来管理其Web应用。这些ODM的Web应用通常被贴牌为某款OEM产品，在没有设置通信流量代理的情况下，用户通常不会注意到这种情况。

IoT设备的混合云模型如图1所示，其中IoT设备能够连接到互联网。该场景中，在厂商云平台与用户设备之间由设备接口提供Web服务，用户访问设备接口进行操作或者进行数据收集。

图1　混合云Web应用模型

如前所述，嵌入式设备的Web应用在设备固件内部运行，以lighttpd或者nginx等程序作为嵌入式Web服务器，而不存在外部依赖。读者可能对这些独立嵌入式Web应用比较熟悉，在打印机、VoIP电话和家庭路由器中都可以找到这些应用。通常情况下，用户输入直接发送到设备固件，如果未对用户输入进行验证或过滤，攻击者则可以向设备发起攻击尝试执行任意命令。在某些情况下，出于防止外部攻击或者便于管理的目的，嵌入式Web应用设计为仅在局域网（Local Area Network，LAN）环境中运行。这也是家用IoT、工控设备和商用设备中的典型情况。通常将设备限定在局域网环境下是出于安全方面的考量，但从我们所了解的情况来看，这种方式难以有效地缓解攻击。这是因为，持有这种观点的设备厂商在现实中发现客户总是会有意无意地将设备连接到互联网上，从而给用户网络带来安全隐患。

图2展示了用户通过Web浏览器连接独立嵌入式Web应用的过程，其中该应用不依赖于外部系统。

图2　本地嵌入式Web应用模型

Web通信

浏览器、嵌入式服务器和Web应用服务器之间的通信通常要么借助简单对象访问协议（Simple Object Access Protocol，SOAP）/XML等Web服务，要么借助基于HTTP/HTTPS符合REST规范的API来实现。SOAP请求中通常包含1个envelope元素、1个xmlns:soap命名空间、1个encodingStyle属性，此外还包括其他元素，例如SOAP中的body元素。读者可以通过访问链接https://www.w3schools.com/xml/xml_soap.asp了解更多关于SOAP协议的内容。

下面展示了一个查询账户余额的HTTP SOAP请求示例：

POST http://example.com/soap/webservices HTTP/1.1
User-Agent:Mozzilla/t.0 (Machintosh;Intel Mac OS X 10.12; rv:49.0)
Gecko/20100101 Firefox/49.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Authorization: BasicYWRtaW46YWRtaW4=
Content-Length: 821
Content-Type: text/plain;charset=UTF-8
DNT: 1
Connection: keep-alive
Host: example.com

<soapenv:Envelope
xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:v1="http://example.com/webservices/BillingAccountSummary/V1">
   <soapenv:Header/>
   <soapenv:Body>
      <getAccountBalance>
         <messageHeader>
            <action>get</v1:action>
            <scopeObject>AccountBalance</v1:scopeObject>
            <revision>1.0</v1:revision>
<createdTimestamp>2017-01-13T09:15:01.469</v1:createdTimestamp>
            <sourceInterface>WEB</v1:sourceInterface>
            <messageIdentifier>00810187-101EDDA4</v1:messageIdentifier>
            <functionName>getAccountBalance</v1:functionName>
         </messageHeader>
<billingAccountIdentifier>1234566</v1:billingAccountIdentifier>
      </getAccountBalance>
   </soapenv:Body>
</soapenv:Envelope>

REST风格的API用到了多个HTTP方法，而这些方法的使用并不符合传统Web应用的用法，例如传统Web应用采用PUT方法更新资源，采用DELETE方法删除资源，而采用REST风格的请求则是通过URL（对于敏感数据不推荐采用此方法进行处理），或者以JSON格式表示的HTTP协议报文等方式调用参数。

在电子邮件分发列表中添加邮件地址test@example.com的REST请求示例如下：

POST /rest/email/subscribe HTTP/1.0
Host: example.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:49.0)
Gecko/20100101 Firefox/49.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Content-Type: application/json
Content-Length: 160
Connection: close

{
  "subscriberId":"12345",
  "emailAdress":"test@example.com",
  "confirmed":"Y"
}

可以采用中间人代理来查看基于SOAP协议或符合REST风格的请求报文。常用的Web代理工具包括Burp Suite与OWASP ZAP，借助这些工具可以查看从浏览器和移动应用发送到Web应用后端的所有请求。我们将在第4章中详细介绍如何配置代理来查看应用流量。

对于IoT设备而言，常常采用Web应用对其设备进行控制，因此，无论是从网络内部还是网络外部来看，Web应用都是发起攻击的常见途径。在第4章中，我们将会了解如何识别IoT设备中Web应用的缺陷与漏洞。
图书简介：https://item.jd.com/12623610.html

相关阅读

物联网渗透测试（一）：简介

创作场景

物联网渗透测试（二）：IoT 中的 Web 应用