SmartRocket TestSec是一款针对工业互联网软件的自动化智能黑盒模糊测试工具,针对通信协议、基础软件进行各种模糊攻击、渗透攻击及安全功能验证,能够帮助企业有效地发现并修复工控通信系统中潜在的安全缺陷。通过自动化、系统化、智能化的模糊测试方法,该工具可以帮助企业提高系统的健壮性和安全性。
用户可根据测试步骤实现测试自动化与智能化,支持通过互操作性测试对被测协议状态进行检测,支持信息收集,支持测试用例管理,支持自定义测试过程。
工具支持实时展示被测系统通信过程数据,支持过程报文协议解析,ASCⅡ码展示,信号值解析展示,数据过滤、存储等。
工具对外开放基础测试功能函数库,支持用户通过C/C++脚本语言设计自定义测试用例。
测试过程中可采用图形化方式实时观察通信过程信号变量以及通信流量统计参数的变化过程。
支持解析DBC、ARXML数据库,支持图形化方式展示通信矩阵,包括数据字段及Payload布局,支持自定义通信数据库开发。
工具支持各通信协议报文仿真发送,支持通信数据回放,支持数据静态解析。
支持模糊测试、渗透测试、故障注入测试、应用模糊、数据库模糊、操作系统模糊、Web模糊等多种测试需求。
工具支持基于测试执行结果,自动生成报告,记录测试过程数据,报告支持模版定制化。
工具提供多种模糊策略及报文字段变异器,结合被测对象参数生成模糊报文,实现对协议状态机和字段的100%覆盖。
工具针对某些特定协议,提供服务端和客户端的双向测试,从而确保对协议报文的完整覆盖。
模糊测试过程中支持配置多种监控套件,包括侵入式和非侵入式监控套件,结合被测对象的响应判断当前设备状态,并获取模糊测试效果信息。
工具支持通过参数配置自主控制整个测试过程,包括测试用例运行配置、监控套件运行配置、测试用例停止条件等。
工具采用基于黑盒的测试方式,使用过程中无需访问源代码。工具将测试脚本内嵌其中,从用例的生成、管理、执行,到生成报告,完全实现自动化的运行。
模糊和渗透测试用例均对用户公开,用户可以查看测试用例报文的交互流程和具体内容,更容易定位有效的测试用例,复现缺陷。
支持将漏洞触发点范围缩小至单条消息,支持记录漏洞上下文相关消息,以复现相关问题并对修复进行验证;支持多种报告格式(Word、PDF、Excel)。
用户可以根据工具已有的协议模版或规则进行新增和定制,满足模糊测试的可行性深度需求。支持自定义测试报告模板,可根据客户需求提供多维度系统安全性分析。