“加快工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展”�����,今年政府工作報(bào)告中再次提及工業(yè)互聯(lián)網(wǎng),這也是我國(guó)連續(xù)8年對(duì)工業(yè)互聯(lián)網(wǎng)作出具體部署�。近年來(lái),工業(yè)互聯(lián)網(wǎng)面臨的安全威脅不斷升級(jí)����,系統(tǒng)質(zhì)量與安全事件持續(xù)高發(fā)。工控協(xié)議復(fù)雜多樣�����、系統(tǒng)漏洞隱蔽難測(cè)��、傳統(tǒng)測(cè)試效率不足、安全測(cè)試成本高昂等問(wèn)題�,嚴(yán)重制約了企業(yè)構(gòu)建高效、可靠的安全防護(hù)體系����。
面對(duì)上述挑戰(zhàn),上?����?匕沧匝械?strong>自動(dòng)化智能模糊滲透測(cè)試工具SmartRocket TestSec���,專為工業(yè)互聯(lián)網(wǎng)安全設(shè)計(jì)��,深度融合模糊測(cè)試技術(shù)與仿真分析能力��,支持國(guó)家最新標(biāo)準(zhǔn)要求���,助力企業(yè)構(gòu)建智能高效的全生命周期安全防護(hù)體系。
產(chǎn)品簡(jiǎn)介
SmartRocket TestSec自動(dòng)化智能模糊滲透測(cè)試工具是一款針對(duì)工業(yè)互聯(lián)網(wǎng)軟件的自動(dòng)化智能黑盒模糊滲透測(cè)試工具�,針對(duì)通信協(xié)議、基礎(chǔ)軟件進(jìn)行各種模糊攻擊��、滲透攻擊及安全功能驗(yàn)證�,能夠幫助企業(yè)有效地發(fā)現(xiàn)并修復(fù)工控通信系統(tǒng)中潛在的安全缺陷。通過(guò)自動(dòng)化��、系統(tǒng)化����、智能化的模糊測(cè)試方法,該工具可以幫助企業(yè)提高系統(tǒng)的健壯性和安全性���。
產(chǎn)品形態(tài)
靈活定制�����,高效易用
SmartRocket TestSec突破傳統(tǒng)模糊滲透測(cè)試工具的局限性���,在測(cè)試深度、場(chǎng)景適配����、測(cè)試效率上形成差異化優(yōu)勢(shì),適用于對(duì)可靠性���、實(shí)時(shí)性要求更為嚴(yán)苛的工業(yè)互聯(lián)網(wǎng)場(chǎng)景����。
工具采用C/S架構(gòu),支持軟硬件結(jié)合的形態(tài)�,可根據(jù)行業(yè)需求靈活定制形態(tài)、集成特定通信接口�,提供單機(jī)和整體解決方案,雙模式靈活部署�,服務(wù)端接口豐富,可擴(kuò)展����,包括:
? RS485/RS232/UART
? USB2.0/USB3.0
? 100/1000Base-Tx
? CAN/CAN FD
? WIFI/BLE
? LIN/FlexRay
應(yīng)用場(chǎng)景
場(chǎng)景豐富,全面覆蓋
SmartRocket TestSec 工具全面覆蓋數(shù)據(jù)鏈路層�、網(wǎng)絡(luò)層、傳輸層��、應(yīng)用層�����,可支持各類測(cè)試對(duì)象���,包括交換機(jī)��、網(wǎng)關(guān)���、路由器�����、車(chē)載網(wǎng)關(guān)、域控�����、TBox��、云平臺(tái)��、應(yīng)用代碼����、數(shù)據(jù)庫(kù)、操作系統(tǒng)等����,并仍在持續(xù)擴(kuò)展中。
? 通信協(xié)議仿真分析
? 車(chē)輛零部件模糊測(cè)試
? 工業(yè)設(shè)備滲透攻擊
? 基礎(chǔ)軟件安全漏洞挖掘
標(biāo)準(zhǔn)協(xié)議
多協(xié)議支持��,全面防護(hù)
內(nèi)置豐富協(xié)議庫(kù)�����,支持多種主流標(biāo)準(zhǔn),滿足多樣化的測(cè)試需求���。
支持標(biāo)準(zhǔn)
? GB 44495-2024 汽車(chē)整車(chē)信息安全技術(shù)要求及試驗(yàn)方法
? T/GHDQ 89.2-2022 車(chē)載網(wǎng)絡(luò)安全測(cè)試規(guī)范第 2 部分:車(chē)載以太網(wǎng)安全測(cè)試規(guī)范
? GB T 40856-2021 車(chē)載信息交互系統(tǒng)信息安全技術(shù)要求及試驗(yàn)方法
? GB/T 40857-2021 汽車(chē)網(wǎng)關(guān)信息安全技術(shù)要求及試驗(yàn)方法
測(cè)試協(xié)議
產(chǎn)品功能
01 自動(dòng)化模糊滲透測(cè)試
用戶可根據(jù)測(cè)試步驟實(shí)現(xiàn)測(cè)試自動(dòng)化與智能化��,支持通過(guò)互操作性測(cè)試對(duì)被測(cè)協(xié)議狀態(tài)進(jìn)行檢測(cè)�,支持信息收集�����,支持測(cè)試用例管理����,支持自定義測(cè)試過(guò)程。
02 自定義測(cè)試用例
工具對(duì)外開(kāi)放基礎(chǔ)測(cè)試功能函數(shù)庫(kù)�,支持用戶通過(guò)C/C++腳本語(yǔ)言設(shè)計(jì)自定義測(cè)試用例。
03 測(cè)試過(guò)程實(shí)時(shí)監(jiān)測(cè)
工具支持實(shí)時(shí)展示被測(cè)系統(tǒng)通信過(guò)程數(shù)據(jù)����,支持過(guò)程報(bào)文協(xié)議解析,ASCⅡ碼展示�����,信號(hào)值解析展示��,數(shù)據(jù)過(guò)濾、存儲(chǔ)等����。
04 圖形化監(jiān)控
測(cè)試過(guò)程中可采用圖形化方式實(shí)時(shí)觀察通信過(guò)程信號(hào)變量以及通信流量統(tǒng)計(jì)參數(shù)的變化過(guò)程。
05 數(shù)據(jù)庫(kù)解析
支持解析DBC�����、ARXML數(shù)據(jù)庫(kù)���,支持圖形化方式展示通信矩陣,包括數(shù)據(jù)字段及Payload布局�,支持自定義通信數(shù)據(jù)庫(kù)開(kāi)發(fā)。
06 支持仿真流量報(bào)文
工具支持各通信協(xié)議報(bào)文仿真發(fā)送�����,支持通信數(shù)據(jù)回放����,支持?jǐn)?shù)據(jù)靜態(tài)解析。
07 豐富的測(cè)試場(chǎng)景
支持模糊測(cè)試�����、滲透測(cè)試、故障注入測(cè)試��、應(yīng)用模糊�����、數(shù)據(jù)庫(kù)模糊�、操作系統(tǒng)模糊、Web模糊等多種測(cè)試需求�����。
08 自動(dòng)化測(cè)試報(bào)告
工具支持基于測(cè)試執(zhí)行結(jié)果�����,自動(dòng)生成報(bào)告�,記錄測(cè)試過(guò)程數(shù)據(jù),報(bào)告支持模版定制化�。
09 軟件對(duì)象模糊
工具可面向數(shù)據(jù)庫(kù)、內(nèi)核����、Web、應(yīng)用等全類型軟件對(duì)象挖掘檢測(cè)未知的安全性、穩(wěn)定性�����、可靠性缺陷�,協(xié)助高效修復(fù),提供缺陷管理��、復(fù)現(xiàn)和修復(fù)�。
? 可檢測(cè)C/C++、Rust��、Go���、C#、Java語(yǔ)言代碼項(xiàng)目��;可檢測(cè)編碼安全漏洞�,如內(nèi)存缺陷、未定義行為��、未捕捉異常等
? 支持關(guān)系型數(shù)據(jù)庫(kù)模糊�����,可檢測(cè)編碼安全漏洞,以及導(dǎo)致數(shù)據(jù)庫(kù)崩潰的缺陷
? 支持操作作系統(tǒng)內(nèi)核(Linux kernel)測(cè)試�����,可檢測(cè)內(nèi)核的編碼安全漏洞���,以及導(dǎo)致內(nèi)核崩潰的缺陷
? 支持Java語(yǔ)言開(kāi)發(fā)的 Web 應(yīng)用類對(duì)象��,包括具備前后端的應(yīng)用���,或單獨(dú)的后端接口;檢測(cè)如SQL注入����、跨站腳本等安全漏洞
產(chǎn)品特色
01 基于報(bào)文字段的協(xié)議模糊測(cè)試
? 工具提供多種模糊策略及報(bào)文字段變異器,結(jié)合被測(cè)對(duì)象參數(shù)生成模糊報(bào)文�,實(shí)現(xiàn)對(duì)協(xié)議狀態(tài)機(jī)和字段的100%覆蓋。
02 支持服務(wù)端和客戶端雙向測(cè)試
? 工具針對(duì)某些特定協(xié)議����,提供服務(wù)端和客戶端的雙向測(cè)試,從而確保對(duì)協(xié)議報(bào)文的完整覆蓋����。
03 多種監(jiān)控套件
? 模糊測(cè)試過(guò)程中支持配置多種監(jiān)控套件���,包括侵入式和非侵入式監(jiān)控套件,結(jié)合被測(cè)對(duì)象的響應(yīng)判斷當(dāng)前設(shè)備狀態(tài)��,并獲取模糊測(cè)試效果信息���。
04 測(cè)試過(guò)程自定義
? 工具支持通過(guò)參數(shù)配置自主控制整個(gè)測(cè)試過(guò)程���,包括測(cè)試用例運(yùn)行配置、監(jiān)控套件運(yùn)行配置���、測(cè)試用例停止條件等����。
05 用例自動(dòng)生成����,基于黑盒測(cè)試原理
? 工具采用基于黑盒的測(cè)試方式����,使用過(guò)程中無(wú)需訪問(wèn)源代碼。工具將測(cè)試腳本內(nèi)嵌其中�����,從用例的生成、管理����、執(zhí)行,到生成報(bào)告����,完全實(shí)現(xiàn)自動(dòng)化的運(yùn)行。
06 用例公開(kāi)��,便于問(wèn)題定位和復(fù)現(xiàn)
? 模糊和滲透測(cè)試用例均對(duì)用戶公開(kāi)�,用戶可以查看測(cè)試用例報(bào)文的交互流程和具體內(nèi)容,更容易定位有效的測(cè)試用例�,復(fù)現(xiàn)缺陷。
07 詳盡的測(cè)試結(jié)果報(bào)告
? 支持將漏洞觸發(fā)點(diǎn)范圍縮小至單條消息����,支持記錄漏洞上下文相關(guān)消息,以復(fù)現(xiàn)相關(guān)問(wèn)題并對(duì)修復(fù)進(jìn)行驗(yàn)證��;支持多種報(bào)告格式(Word�����、PDF、Excel)����。
08 高度可定制化
? 用戶可以根據(jù)工具已有的協(xié)議模版或規(guī)則進(jìn)行新增和定制,滿足模糊測(cè)試的可行性深度需求����。支持自定義測(cè)試報(bào)告模板,可根據(jù)客戶需求提供多維度系統(tǒng)安全性分析�����。
閱讀原文
