“加快工业互联网创新发展”，今年政府工作报告中再次提及工业互联网，这也是我国连续8年对工业互联网作出具体部署。近年来，工业互联网面临的安全威胁不断升级，系统质量与安全事件持续高发。工控协议复杂多样、系统漏洞隐蔽难测、传统测试效率不足、安全测试成本高昂等问题，严重制约了企业构建高效、可靠的安全防护体系。

面对上述挑战，上海控安自研的自动化智能模糊渗透测试工具SmartRocket TestSec，专为工业互联网安全设计，深度融合模糊测试技术与仿真分析能力，支持国家最新标准要求，助力企业构建智能高效的全生命周期安全防护体系。

 产品简介 

SmartRocket TestSec自动化智能模糊渗透测试工具是一款针对工业互联网软件的自动化智能黑盒模糊渗透测试工具，针对通信协议、基础软件进行各种模糊攻击、渗透攻击及安全功能验证，能够帮助企业有效地发现并修复工控通信系统中潜在的安全缺陷。通过自动化、系统化、智能化的模糊测试方法，该工具可以帮助企业提高系统的健壮性和安全性。

 产品形态 

灵活定制，高效易用

SmartRocket TestSec突破传统模糊渗透测试工具的局限性，在测试深度、场景适配、测试效率上形成差异化优势，适用于对可靠性、实时性要求更为严苛的工业互联网场景。

工具采用C/S架构，支持软硬件结合的形态，可根据行业需求灵活定制形态、集成特定通信接口，提供单机和整体解决方案，双模式灵活部署，服务端接口丰富，可扩展，包括：

? RS485/RS232/UART

? USB2.0/USB3.0

? 100/1000Base-Tx

? CAN/CAN FD

? WIFI/BLE

? LIN/FlexRay

 应用场景 

场景丰富，全面覆盖

SmartRocket TestSec 工具全面覆盖数据链路层、网络层、传输层、应用层，可支持各类测试对象，包括交换机、网关、路由器、车载网关、域控、TBox、云平台、应用代码、数据库、操作系统等，并仍在持续扩展中。

? 通信协议仿真分析

? 车辆零部件模糊测试

? 工业设备渗透攻击

? 基础软件安全漏洞挖掘

 标准协议 

多协议支持，全面防护

内置丰富协议库，支持多种主流标准，满足多样化的测试需求。

 支持标准 

? GB 44495-2024 汽车整车信息安全技术要求及试验方法

? T/GHDQ 89.2-2022 车载网络安全测试规范第 2 部分：车载以太网安全测试规范

? GB T 40856-2021 车载信息交互系统信息安全技术要求及试验方法

? GB/T 40857-2021 汽车网关信息安全技术要求及试验方法

 测试协议 

 产品功能 

01 自动化模糊渗透测试

用户可根据测试步骤实现测试自动化与智能化，支持通过互操作性测试对被测协议状态进行检测，支持信息收集，支持测试用例管理，支持自定义测试过程。

02 自定义测试用例

工具对外开放基础测试功能函数库，支持用户通过C/C++脚本语言设计自定义测试用例。

03 测试过程实时监测

工具支持实时展示被测系统通信过程数据，支持过程报文协议解析，ASCⅡ码展示，信号值解析展示，数据过滤、存储等。

04 图形化监控

测试过程中可采用图形化方式实时观察通信过程信号变量以及通信流量统计参数的变化过程。

05 数据库解析

支持解析DBC、ARXML数据库，支持图形化方式展示通信矩阵，包括数据字段及Payload布局，支持自定义通信数据库开发。

06 支持仿真流量报文

工具支持各通信协议报文仿真发送，支持通信数据回放，支持数据静态解析。

07 丰富的测试场景

支持模糊测试、渗透测试、故障注入测试、应用模糊、数据库模糊、操作系统模糊、Web模糊等多种测试需求。

08 自动化测试报告

工具支持基于测试执行结果，自动生成报告，记录测试过程数据，报告支持模版定制化。

09 软件对象模糊

工具可面向数据库、内核、Web、应用等全类型软件对象挖掘检测未知的安全性、稳定性、可靠性缺陷，协助高效修复，提供缺陷管理、复现和修复。

? 可检测C/C++、Rust、Go、C#、Java语言代码项目；可检测编码安全漏洞，如内存缺陷、未定义行为、未捕捉异常等

? 支持关系型数据库模糊，可检测编码安全漏洞，以及导致数据库崩溃的缺陷

? 支持操作作系统内核（Linux kernel）测试，可检测内核的编码安全漏洞，以及导致内核崩溃的缺陷

? 支持Java语言开发的 Web 应用类对象，包括具备前后端的应用，或单独的后端接口；检测如SQL注入、跨站脚本等安全漏洞

 产品特色 

01 基于报文字段的协议模糊测试

? 工具提供多种模糊策略及报文字段变异器，结合被测对象参数生成模糊报文，实现对协议状态机和字段的100%覆盖。

02 支持服务端和客户端双向测试

? 工具针对某些特定协议，提供服务端和客户端的双向测试，从而确保对协议报文的完整覆盖。

03 多种监控套件

? 模糊测试过程中支持配置多种监控套件，包括侵入式和非侵入式监控套件，结合被测对象的响应判断当前设备状态，并获取模糊测试效果信息。

04 测试过程自定义

? 工具支持通过参数配置自主控制整个测试过程，包括测试用例运行配置、监控套件运行配置、测试用例停止条件等。

05 用例自动生成，基于黑盒测试原理

? 工具采用基于黑盒的测试方式，使用过程中无需访问源代码。工具将测试脚本内嵌其中，从用例的生成、管理、执行，到生成报告，完全实现自动化的运行。

06 用例公开，便于问题定位和复现

? 模糊和渗透测试用例均对用户公开，用户可以查看测试用例报文的交互流程和具体内容，更容易定位有效的测试用例，复现缺陷。

07 详尽的测试结果报告

? 支持将漏洞触发点范围缩小至单条消息，支持记录漏洞上下文相关消息，以复现相关问题并对修复进行验证；支持多种报告格式（Word、PDF、Excel）。

08 高度可定制化

? 用户可以根据工具已有的协议模版或规则进行新增和定制，满足模糊测试的可行性深度需求。支持自定义测试报告模板，可根据客户需求提供多维度系统安全性分析。

阅读原文