鉴源论坛 · 观辙丨汽车CAN总线渗透测试

最新推荐文章于 2024-12-25 14:25:43 发布
原创 最新推荐文章于 2024-12-25 14:25:43 发布 · 1.2k 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#汽车

本文介绍了CAN总线的基本概念、在汽车领域的应用及其网络安全威胁,包括机密性、可用性、真实性和完整性的风险。接着,详细阐述了渗透测试的方法,如模糊攻击、重放攻击、DoS攻击和UDS探测,以此发现并评估CAN总线的潜在安全漏洞。最后,强调了在汽车智能化和网联化趋势下,对CAN总线进行渗透测试的重要性。

作者 | 肖博阳 上海控安可信软件创新研究院研发工程师

来源 | 鉴源实验室

01 

CAN总线

1.1 CAN总线是什么?

CAN是控制器局域网络(Controller Area Network, CAN)的简称,是ISO国际标准化的串行通信协议,由以研发和生产汽车电子产品著称的德国BOSCH公司开发,并最终成为国际标准(ISO 11898)。CAN总线是国际上应用最广泛的现场总线之一。

1.2 为什么要使用CAN总线?

在汽车产业中,出于对安全性、舒适性、方便性、低功耗、低成本的要求,各种各样的电子控制系统被开发出来。由于这些系统之间通信所用的数据类型及对可靠性的要求不尽相同,由多条总线构成的情况很多,线束的数量也随之增加。为适应“减少线束的数量”“通过多个LAN,进行大量数据的高速通信”的需要,1986 年德国电气商博世公司开发出面向汽车的CAN 通信协议。此后,CAN 通过ISO 11898及ISO 11519进行了标准化,在欧洲已是汽车网络的标准协议。

最低0.47元/天 解锁文章
使用WPScan工具进行渗透测试
DevRevolt的博客
09-09 415
WPScan是一款强大的工具,用于发现和利用WordPress网站的漏洞和安全风险。本文介绍了如何安装WPScan工具,并使用它来扫描WordPress网站、利用已知漏洞以及执行用户名和密码的暴力破解攻击。执行上述命令后,WPScan将尝试使用提供的用户名和密码字典来破解目标WordPress网站的凭据。执行上述命令后,WPScan将扫描目标网站上的插件和主题,并尝试查找已知的漏洞。接下来,我们可以使用WPScan来扫描目标WordPress网站,查找可能存在的漏洞和安全风险。安装完成后,我们就可以使用。
CAN总线测试】——CAN物理层测试
LOVE135149的博客
08-23 5937
本章主要介绍CAN物理层的用例设计
车载CAN总线及网关渗透测试.pdf
06-14
车载CAN总线及网关渗透测试.pdf
汽车网络信息安全-智能网联汽车网络安全测试渗透测试,模糊测试详细讲解
2301_76563067的博客
01-08 6294
一旦在模糊测试中捕获到异常状态,则记录导致异常状态的输入向量,该异常向量可能导致潜在的网络安全漏洞,异常状态是否可以被利用则需要进一步深入验证。计算层则为人、车、环境的协调控制与管理提供计算保障,基于海量数据的分析结果协调车联网中数量庞大的实体之间的信息交互,为上层应用奠定基础,大大提高交通效率、行车安全性与交通系统稳定性。在漏洞挖掘领域,与渗透测试技术相伴使用的是模糊测试技术,广泛应用于智能网联汽车的不同车载系统,发掘潜在的未知网络安全漏洞。模糊测试的目的在于察输入向量是否引发 SUT的异常响应。
汽车网络安全渗透测试
最新发布
2401_88752464的博客
12-25 1445
汽车是车轮上的计算机,安全对其至关重要。由此可以得出以太网交换机和连接区域的具体攻击向量,例如抑制通信的DoS攻击、漏洞利用、CAN总线上的报文欺骗和个人数据的窃听,以及功能的远程控制,操纵中央网关模块(CGM)的路由表和改变过滤策略。所需的资产存在于给定的架构中,他们是开关的开关功能和过滤功能,过滤器,防火墙的前向功能,以及通过交换机和防火墙的跨域通信,域的正常运行,与隐私有关的数据和知识产权(IP)。通过攻击向量的ID对其进行追踪,以确保良好的测试案例覆盖率,并产生一个最小的、非冗余的渗透测试案例库。
【如何学习CAN总线测试】系列文章目录汇总
测试领域技术分享
12-14 6626
【如何学习CAN总线测试】系列文章目录汇总
【如何学习CAN总线测试】——CAN物理层测试
热门推荐
测试领域技术分享
11-22 1万+
随着智能电动汽车行业的发展,众多的测试人员也加入到汽车电子测试行业中,而CAN网络是汽车上常见的网络之一,对于新加入的测试人员,不知道CAN网络该如何测试、用例如何设计,本章就就主要介绍CAN网络的物理层测试
汽车网络安全渗透测试概述
king110108的专栏
01-25 2043
本文讲述信息安全的法规和GB,以及网络安全威胁分析及渗透测试的概述
[Linux]车联网安全-大佬都在用的渗透测试系统
Liyu_6618的博客
08-12 966
天刃是一个基于Ubuntu 18.04的车联网渗透测试发行版系统,主要用于针对车联网设备进行安全评估。系统内置上百个车联网安全测试专用工具,旨在解决车联网安全从业人员测试工具杂乱、测试环境配置复杂、无工具可用等一系列问题。本系统提供ISO镜像安装与OVA镜像导入方式安装,推荐使用OVA导入虚拟机操作更为简单方便。覆盖逆向、CAN、车载以太网、WiFi、蓝牙、云平台等安全测试。导入或安装成功后开机使用iov/root进行登录,登录成功后会显示用户体验计划,可选择同意或拒绝,确认完成后即可开始使用。
A Survey of Remote Automotive Attack Surfaces.pdf
05-30
远程的汽车网络攻击接口的通道
美发布汽车网络安全指南 渗透测试寻漏洞
weixin_34138056的博客
08-04 276
日益严重的车辆系统受到入侵及失窃问题引发了汽车行业对车辆网络安全问题的进一步关注。而车网联技术的传播和深入更推动了对该问题的探讨。 据外媒报道,美国国家公路交通安全管理局(NHTSA)日前发布了新款汽车网络安全指导文件,为车企如何网络安全问题提供了指南。 NHTSA表示网络安全问题应当是汽车厂商和供应商关注的重中之重,新车产品研发的过程中就该妥善处理...
车联网安全入门——CAN总线模糊测试
weixin_66578482的博客
06-04 4097
🚀🚀ICSim是一个用于模拟车辆仪表集群的工具,专门为 SocketCAN 设计。SocketCAN 是 Linux 内核中的一个模块,用于支持控制器局域网(CAN)接口。🚀🚀CAN 总线模糊测试是一种强大的方法,用于发现和修复汽车网络系统中的安全漏洞和稳定性问题。通过系统地生成和发送异常 CAN 数据帧,测试人员可以识别出潜在的缺陷,从而增强车辆电子系统的安全性和可靠性。结合 ICSim, Can-Hax和 SavvyCAN 等工具,可以有效地进行 CAN 总线模糊测试,并为车辆网络安全提供坚实的保障。
智能网联汽车安全渗透测试活动--测试指标
qq_45302638的博客
03-22 1040
上篇简单介绍了国内外法律法规,中国软件测评中心(赛迪汽车)在相关主管单位的指导监督下,开始组织智能网联汽车安全渗透测试活动。本篇主要介绍了安全渗透测试的相关指标。
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 5310
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
一次完整的安全渗透测试_如果下一次大规模入侵涉及您的车辆而不是安全摄像机怎么办...
weixin_26636643的博客
08-25 1022
一次完整的安全渗透测试But my vehicle doesn’t connect to the internet….Are you sure? Statista estimates 40% of vehicles connect to the internet as of 2019 in the US (that’s 2 out of every 5 vehicles capable of ac...
11种流行的渗透测试工具
WLANQY的博客
02-07 432
该工具可以基于各种哈希来破解不同的密码,这些哈希包括crypt密码哈希类型,Kerberos Andrew File System(Kerberos AFS)哈希,取决于MD-4的密码哈希,Windows NT / 2000 / XP / 2003 LM类型的哈希,等等。由于其大量的漏洞签名库,它是漏洞扫描的最佳工具。支持该工具的平台包括Linux,Microsoft Windows,FreeBSD,OpenBSD,Solaris,HP-UX,NetBSD,Sun OS和Amiga。
CAN总线通信质量测试方案
m0_65548585的博客
06-04 4516
CAN总线分为高速CAN和低速CAN,传输速率不同:高速CAN速率为125kbit/s~1Mbit/s,低速CAN速率为5~125kbit/s。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值