版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
工业互联网安全测试技术《工业互联网安全测试技术》课程组
IndustrialInternetSecurityTestingTechnologyGYHLWAQCSJS-020工控漏洞和攻击第4章目录02工控协议漏洞01工控软件漏洞0101工控软件漏洞01工控软件漏洞软件漏洞通常被认为是软件生命周期中出现的设计错误、编码缺陷以及运行故障。(1)定义01工控软件漏洞缓冲区溢出是编程错误,可能会使程序崩溃,导致数据损坏或在系统中执行恶意代码,必须采取正确的测试和确认方法以及进行任何适当的边界检查,以确保避免缓冲区溢出或软件故障。(2)常见的工控软件漏洞01工控软件漏洞未经身份验证的协议:在工业控制系统中,认证协议用于在两个实体之间传输认证数据,以便对连接实体及其自身进行认证。身份验证协议是与计算机网络通信的最重要的保护层。当工业控制系统的协议缺乏身份验证时,连接到网络的任何计算机或设备都可以输入命令来更改,操纵由ICS控制的操作。(2)常见的工控软件漏洞01工控软件漏洞弱用户验证:身份验证是证明网络或系统上用户身份的过程。弱用户身份验证系统是一个容易被击败或绕过的身份验证过程。(2)常见的工控软件漏洞01工控软件漏洞另一方面,身份验证系统可以是非常强大的用户身份验证系统,因为它们通常在生物特征读取(例如指纹或虹膜扫描)上工作。这些生物识别读数比基于知识的系统更难模仿或绕过。(2)常见的工控软件漏洞0202工控协议漏洞02工控协议漏洞网络协议指的是计算机网络中互相通信的对等实体之间交换信息时所必须遵守的规则的集合。协议设计或配置不当都可能被攻击者使用,威胁到系统的安全。(1)定义02工控协议漏洞CP1W-C1F41模块的HTTP协议存在拒绝服务漏洞,可导致CP1W-C1F41的HTTP服务异常,80端口无法再访问,需手动重启PLC,HTTP服务方能恢复。(2)协议漏洞02工控协议漏洞CIP协议是CiscoIOS操作系统的一个用于工业自动化应用的工业协议。CiscoIOS中的CIP功能存在拒绝服务漏洞。远程攻击者可通过提交CIP信息请求利用该漏洞使交换机停止处理数据流,造成拒绝服务。(2)协议漏洞02工控协议漏洞S7Comm-Plus协议在主机与PLC之间的认证过程中,引入了非对称加密算法,但是PLC与主机之间并没有进行绑定,因此攻击者可以伪造成一个恶意的主机/工作站,利用已知的公钥及加密算法,对PLC进行非法控制或者中间人攻击。(2)协议漏洞02工控协议漏洞远程文件传输协议(FTP)不能控制连接并对其数据进行加密。
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 自动输液器产品相关项目建议书
- 贵州省遵义市湄潭县湄江中学2025年高三元月调研测试数学试题试卷含解析
- 贵州省织金县2024届七下英语期末教学质量检测模拟试题含答案
- 服装店合作经营合同
- 实验室盐度计市场发展预测和趋势分析
- 自动络筒机产品相关项目建议书
- C语言程序设计 课件 第7章-结构体
- 贵州省铜仁地区松桃县2024年八年级英语第二学期期末监测模拟试题含答案
- 贵州省黔西南州兴义市2024届三年级数学第二学期期末教学质量检测试题含解析
- 营业厅服务标准暨示范营业厅工作规范
- 屋面拆除施工方案完整版
- 2018液压支架工技能比武题库(共53页)
- 水质工程学2课程设计说明书
- 土地增值税清算审核指南
- 小学教学常规检查表
- 《性缓》(课堂PPT)
- 蒸汽疏水阀的分类
- 教案-48个国际音标
- 子午线轮胎制造工艺4
- 市人民医院职工食堂经营方案
- 工程造价出现偏差的主要原因分析与有效控制策略
评论
0/150
提交评论