“加快工業互聯網創新發展”，今年政府工作報告中再次提及工業互聯網，這也是我國連續8年對工業互聯網作出具體部署。近年來，工業互聯網面臨的安全威脅不斷升級，系統質量與安全事件持續高發。工控協議復雜多樣、系統漏洞隱蔽難測、傳統測試效率不足、安全測試成本高昂等問題，嚴重制約了企業構建高效、可靠的安全防護體系。

面對上述挑戰，上海控安自研的自動化智能模糊滲透測試工具SmartRocket TestSec，專為工業互聯網安全設計，深度融合模糊測試技術與仿真分析能力，支持國家最新標準要求，助力企業構建智能高效的全生命周期安全防護體系。

 產品簡介 

SmartRocket TestSec自動化智能模糊滲透測試工具是一款針對工業互聯網軟件的自動化智能黑盒模糊滲透測試工具，針對通信協議、基礎軟件進行各種模糊攻擊、滲透攻擊及安全功能驗證，能夠幫助企業有效地發現并修復工控通信系統中潛在的安全缺陷。通過自動化、系統化、智能化的模糊測試方法，該工具可以幫助企業提高系統的健壯性和安全性。

 產品形態 

靈活定制，高效易用

SmartRocket TestSec突破傳統模糊滲透測試工具的局限性，在測試深度、場景適配、測試效率上形成差異化優勢，適用于對可靠性、實時性要求更為嚴苛的工業互聯網場景。

工具采用C/S架構，支持軟硬件結合的形態，可根據行業需求靈活定制形態、集成特定通信接口，提供單機和整體解決方案，雙模式靈活部署，服務端接口豐富，可擴展，包括：

? RS485/RS232/UART

? USB2.0/USB3.0

? 100/1000Base-Tx

? CAN/CAN FD

? WIFI/BLE

? LIN/FlexRay

 應用場景 

場景豐富，全面覆蓋

SmartRocket TestSec 工具全面覆蓋數據鏈路層、網絡層、傳輸層、應用層，可支持各類測試對象，包括交換機、網關、路由器、車載網關、域控、TBox、云平臺、應用代碼、數據庫、操作系統等，并仍在持續擴展中。

? 通信協議仿真分析

? 車輛零部件模糊測試

? 工業設備滲透攻擊

? 基礎軟件安全漏洞挖掘

 標準協議 

多協議支持，全面防護

內置豐富協議庫，支持多種主流標準，滿足多樣化的測試需求。

 支持標準 

? GB 44495-2024 汽車整車信息安全技術要求及試驗方法

? T/GHDQ 89.2-2022 車載網絡安全測試規范第 2 部分：車載以太網安全測試規范

? GB T 40856-2021 車載信息交互系統信息安全技術要求及試驗方法

? GB/T 40857-2021 汽車網關信息安全技術要求及試驗方法

 測試協議 

 產品功能 

01 自動化模糊滲透測試

用戶可根據測試步驟實現測試自動化與智能化，支持通過互操作性測試對被測協議狀態進行檢測，支持信息收集，支持測試用例管理，支持自定義測試過程。

02 自定義測試用例

工具對外開放基礎測試功能函數庫，支持用戶通過C/C++腳本語言設計自定義測試用例。

03 測試過程實時監測

工具支持實時展示被測系統通信過程數據，支持過程報文協議解析，ASCⅡ碼展示，信號值解析展示，數據過濾、存儲等。

04 圖形化監控

測試過程中可采用圖形化方式實時觀察通信過程信號變量以及通信流量統計參數的變化過程。

05 數據庫解析

支持解析DBC、ARXML數據庫，支持圖形化方式展示通信矩陣，包括數據字段及Payload布局，支持自定義通信數據庫開發。

06 支持仿真流量報文

工具支持各通信協議報文仿真發送，支持通信數據回放，支持數據靜態解析。

07 豐富的測試場景

支持模糊測試、滲透測試、故障注入測試、應用模糊、數據庫模糊、操作系統模糊、Web模糊等多種測試需求。

08 自動化測試報告

工具支持基于測試執行結果，自動生成報告，記錄測試過程數據，報告支持模版定制化。

09 軟件對象模糊

工具可面向數據庫、內核、Web、應用等全類型軟件對象挖掘檢測未知的安全性、穩定性、可靠性缺陷，協助高效修復，提供缺陷管理、復現和修復。

? 可檢測C/C++、Rust、Go、C#、Java語言代碼項目；可檢測編碼安全漏洞，如內存缺陷、未定義行為、未捕捉異常等

? 支持關系型數據庫模糊，可檢測編碼安全漏洞，以及導致數據庫崩潰的缺陷

? 支持操作作系統內核（Linux kernel）測試，可檢測內核的編碼安全漏洞，以及導致內核崩潰的缺陷

? 支持Java語言開發的 Web 應用類對象，包括具備前后端的應用，或單獨的后端接口；檢測如SQL注入、跨站腳本等安全漏洞

 產品特色 

01 基于報文字段的協議模糊測試

? 工具提供多種模糊策略及報文字段變異器，結合被測對象參數生成模糊報文，實現對協議狀態機和字段的100%覆蓋。

02 支持服務端和客戶端雙向測試

? 工具針對某些特定協議，提供服務端和客戶端的雙向測試，從而確保對協議報文的完整覆蓋。

03 多種監控套件

? 模糊測試過程中支持配置多種監控套件，包括侵入式和非侵入式監控套件，結合被測對象的響應判斷當前設備狀態，并獲取模糊測試效果信息。

04 測試過程自定義

? 工具支持通過參數配置自主控制整個測試過程，包括測試用例運行配置、監控套件運行配置、測試用例停止條件等。

05 用例自動生成，基于黑盒測試原理

? 工具采用基于黑盒的測試方式，使用過程中無需訪問源代碼。工具將測試腳本內嵌其中，從用例的生成、管理、執行，到生成報告，完全實現自動化的運行。

06 用例公開，便于問題定位和復現

? 模糊和滲透測試用例均對用戶公開，用戶可以查看測試用例報文的交互流程和具體內容，更容易定位有效的測試用例，復現缺陷。

07 詳盡的測試結果報告

? 支持將漏洞觸發點范圍縮小至單條消息，支持記錄漏洞上下文相關消息，以復現相關問題并對修復進行驗證；支持多種報告格式（Word、PDF、Excel）。

08 高度可定制化

? 用戶可以根據工具已有的協議模版或規則進行新增和定制，滿足模糊測試的可行性深度需求。支持自定義測試報告模板，可根據客戶需求提供多維度系統安全性分析。

閱讀原文