智能网联汽车信息安全实训平台-TSP云平台的文件包含漏洞实验

最新推荐文章于 2025-09-15 11:09:24 发布
原创 最新推荐文章于 2025-09-15 11:09:24 发布 · 2.9k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #信息安全

该博客围绕智能网联汽车信息安全实训平台的TSP云平台文件包含漏洞实验展开。介绍了测试对象、教学目的,详细阐述利用本地和远程文件包含漏洞读取隐私数据、植入木马,通过中国蚁剑等工具连接木马实现服务器远程控制的过程,还提及依赖的软硬件工具。

 

目录

一、测试对象

二、教学目的

三、详细介绍

四、依赖软件工具

五、依赖硬件工具

六、实验步骤

1.搜索到TSP云平台的文件包含漏洞

2.使用本地文件包含来读取本地文件隐私数据

3.使用远程文件包含来植入木马

4.通过菜刀或中国蚁剑来连接木马,远程控制服务器

智能网联汽车信息安全实训平台的文件包含漏洞实验,测试方案覆盖车机软件、车载通信、车内智能终端设备、车内总线等检测环境。

一、测试对象

TSP云平台

二、教学目的

通过指导学生上机实践,让学生学习利用TSP云平台的文件包含漏洞进行攻击的基本原理和操作过程,了解除汽车本身外,TSP平台可能存在的安全威胁,并加强安全防护意识。

三、详细介绍

本实验介绍一种对TSP云平台进行文件包含漏洞利用的基本过程。利用本地文件包含查看服务器端的隐私文件,利用远程文件包含向服务器上传木马,并使用中国蚁剑连接木马,从而实现对服务器的远程控制。

四、依赖软件工具

中国蚁剑

一个网站管理工具,也常用于授权人员对网站的安全渗透测试。本实验使用这个工具连接在远程文件包含中植入的网站木马。

五、依赖硬件工具

Windows系统PC,Ubuntu系统工控机。

六、实验步骤

实验流程和网络拓扑

1.搜索到TSP云平台的文件包含漏洞

打开TSP云平台登录页面,观察到URL的参数filename的值是一个login.php,是一个页面,因此推测该平台存在文件包含漏洞。

http://192.168.9.135/include.php?filename=login.php
最低0.47元/天 解锁文章
上海控安
关注
汽车网络信息安全-智能网联汽车网络安全测试:渗透测试,模糊测试详细讲解
2301_76563067的博客
01-08 6285
一旦在模糊测试中捕获到异常状态,则记录导致异常状态的输入向量,该异常向量可能导致潜在的网络安全漏洞,异常状态是否可以被利用则需要进一步深入验证。计算层则为人、车、环境的协调控制与管理提供计算保障,基于海量数据的分析结果协调车联网中数量庞大的实体之间的信息交互,为上层应用奠定基础,大大提高交通效率、行车安全性与交通系统稳定性。在漏洞挖掘领域,与渗透测试技术相伴使用的是模糊测试技术,广泛应用于智能网联汽车的不同车载系统,发掘潜在的未知网络安全漏洞。模糊测试的目的在于观察输入向量是否引发 SUT的异常响应。
上海控安:车载总线渗透测试分析,构建网络安全防护体系
TICPSH的博客
12-06 8821
上海控安开发渗透测试工具,以帮助整车企业快速实施所需的渗透测试,发现目标系统潜在的相关安全漏洞,从而为后续的网络系统安全设计及改进提供依据,最终保障目标系统的网络安全。
车联网TSP平台软件漏洞分析与安全测试.pdf
07-16
车联网TSP平台软件漏洞分析与安全测试.pdf
车联网TSP平台解决方案深度解析与应用
最新发布
weixin_36123300的博客
09-15 1667
车联网(Internet of Vehicles, IoV)作为物联网技术在交通领域的深度应用,正在重塑汽车产业的生态格局。TSP(Telematics Service Provider)平台作为连接车辆、用户与服务的核心枢纽,承担着数据汇聚、远程控制、服务调度等关键职能。它不仅支撑着车辆的智能化管理,还推动着出行服务的个性化与交通系统的智慧化演进。
ParkManagementSystem:(智能停车APP&智能车场)TSP智能共享平台(云端):包括了停车场相关所有管理
03-11
一·app端的登陆,人脸识别,修改信息等,需要后台的部署。后台是在Eclipse开发中,建议使用eclipse运行,同时下载Spring Boot插件完成项目的部署;部署后,后台的WebService也同时发布成功。。二·部署成功,访问三·用户在网页访问启动,表示的网络。四·车牌识别:点击应用程序的用户头像,再点击拍照,拍的照片会通过WebService传输到后台,通过WebSocket把识别的车牌发到页面。五·地址说明:在停车场帐户中main.jsp两个地址是摄像头的视频网址,用ip摄像头(一个app)实现项目的端口为8089,netty服务器用了9999; app调用WebService接口直接访问pc端的ip地址,定义为手机开景点给手机,确保位于同一网段。netty服务器和WebSocket的交互使用本地主机访问,则是同一台电脑打开。否则映射到外网。
智能网联汽车信息安全:挑战、解决方案与实践
在实践中,企业如百度的Apollo汽车信息安全实验室主任云朋所提到的,要从攻击者的角度审视安全问题,建立全面的安全防护体系,包括但不限于入侵检测、漏洞管理、安全更新策略以及驾驶员教育,提升用户对智能网联汽车...
DolphinScheduler×长安汽车 | 千万级数据接入能力智能网联汽车云平台引进核心调度系统...
Apache DolphinScheduler开源社区
03-06 1006
点击蓝字 关注我们用户案例 | 长安汽车长安汽车智能车云平台,网联车日活达百万级,车联网平台日均接收信号条数达百亿级。面对海量车联网数据分析的挑战,长安汽车建设了一套具备千万级数据接入能力的智能网联汽车云平台。为保证智能汽车数据类业务的开展,长安汽车从初试到深度使用(1.1.0开始投产),选择DolphinScheduler作为数据平台的核心调度系统,实现数据任务的灵活编排、调度,赋能智能汽车产品...
D2 周光涛 联通智网 云网安一体化保障智能网联汽车应用-联通智网科技.pptx - 已修复
11-18
4. 车联网四类实体:车联网包括四类实体:车载单元(OBU)、路侧单元(RSU)、车联网云平台TSP)和移动智能终端。每个实体都需要考虑到安全问题,并采取相应的安全措施。 5. 智能安全大脑:智能安全大脑是指一个...
2015汽车信息安全年度报告.pdf
09-10
- 云安全:在车联网和智能汽车中,云服务的使用增加了数据安全的复杂性,需要特别关注云环境下的数据保护。 - 区块链:虽然报告未直接提及,但区块链技术可以用于提升数据交换的透明性和安全性,防止篡改。 - ...
智能网联汽车信息安全测试解决方案
经纬恒润的官方博客
12-23 1881
概述 为满足日益严格的国内外法规和标准要求,应对愈发严峻的信息安全风险,智能网联汽车通常集成越来越多的信息安全检测和防御措施。而相关的安全措施集成到部件和整车之后,能否发挥有效的防护效果,需要通过严格的信息安全测试进行验证和确认。 经纬恒润信息安全团队针对智能网联汽车提供一系列的信息安全测试解决方案,涵盖软件、单部件、系统和实车等各阶段的信息安全测试服务,为信息安全策略的正确实施保驾护航。 信息安全测试咨询服务 经纬恒润提供的信息安全测试咨询服务涵盖:OTA、IDPS、SecOC、IPSec和TLS等信息安
信息安全技术 信息系统通用安全技术要求_智能网联汽车信息安全技术要求与测试方法...
weixin_39827315的博客
11-24 441
今晚(周三)20:00,「智车科技·智车云播」第五期直播,邀请了北京邮电大学电子科学与技术专业(物联网方向)工学博士——吴超博士,他将为大家分享《智能网联汽车信息安全技术要求与测试方法》。吴超博士吴超,北京邮电大学电子科学与技术专业(物联网方向)工学博士、高级工程师、中国消费品质量安全促进会(汽车领域)专家,现就职于重庆车辆检测研究院有限公司,从事方向为:智能网联汽车V2X技术与信息安全...
汽车网络信息安全-技术要求,实验方法
2301_76563067的博客
06-27 2578
b) 查看系统中的账号列表,检查是否存在无用账号,或者尝试登录其中的无用账号,验证是否无 法登陆,通过设置弱口令,检查系统是否提示口令安全弱,账号口令至少包括阿拉伯数字、大小 写拉丁字母,并且长度不小于8位;a) 采用网络数据抓包工具进行数据抓包,解析通信报文数据,将其篡改,发送篡改数据,触发数据 内容校验失败,检查车载信息交互系统是否终止该响应操作;b) 采用网络数据抓包工具进行数据抓包,解析通信报文数据,模拟伪造签名的报文数据,触发身 份鉴权失败,检查车载信息交互系统是否终止该响应操作。
云计算赋能:TSP 问题求解与创新定价机制的全景剖析
博客之路,前途漫漫
12-18 1856
在云计算蓬勃发展的时代背景下,众多计算密集型难题,如旅行商问题(TSP),依托云计算强大算力求解成为必然趋势。TSP 问题广泛存在于城市交通规划、物流运输、通信网络布局等关键领域,其求解对优化资源配置、降低成本意义深远。然而,TSP 属于 NP 难问题,大规模场景下求解需强大计算资源支撑,云计算平台应运而生成为求解利器,但随之而来的云计算服务定价问题成为制约产业发展的关键因素。现行云服务定价机制,如 Amazon 简单固定收费模式,缺乏灵活性与公平性,难以满足用户多样需求与服务价值精准度量。
车载测试—TBox
flower_life的博客
07-04 995
APP--TSP--Tbox交互流程图 TBox功能
怎么样实现车辆信息安全
usstmiracle的博客
03-01 818
1 车载IDS正成为持续网络安全保护的核心要素 持续的网络信息安全风险管理正成为VTA的要求。通过IDS车载入侵检测可以为整个车队提供信息安全保护。但是,分布式IDS的指导原则是什么? 为了满足UNECE.WP29法规要求,整车生产商和车队运营商必须对其车辆的网络安全采取一种基于风险的评估方法。联合国第155号条例(UN R155)以及ISO/SAE 21434规定,需要在车辆全生命周期内对整个车队进行持续的网络风险管理。因此,在未来,持续的状态监测和基于风险的安全措施将成为汽车网络安全的重要组成部分。
智能网联-浅谈基于PKI的车联网应用服务安全
IT深耕十余载,大道之简
10-12 2754
以上就是今天要讲的内容,本文仅仅简单介绍了PKI在车联网上简单的使用场景,而PKI其它详细应用能力还要随着V2X的应用场景下沉及国家行业规范的合规要求,还有很多需要深入探讨研究领域。
智能网联平台
qq_37220802的博客
06-24 896
智能网联平台是以构建车路协同生态、赋能智能驾驶与智慧交通为核心目标的技术解决方案。
智能网联汽车信息安全实验:节点通信与证书验证
资源摘要信息:"智能网联汽车信息安全实验文档" 1. 节点A (`talk_ssl.py`) 和节点B (`listen_ssl.py`) 在智能网联汽车信息安全实验中的角色和功能解析 在智能网联汽车信息安全实验中,节点A和节点B通过ROS(Robot ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值