工业控制系统中安全组态工程保护技术实现
在工控系统中,为了防止核心的工艺代码的泄露,技术人员往往会对组态工程文件加上密码。当打开一个有密码保护的组态工程文件时会需要输入安全密码。但是由于组态软件的设计问题,导致组态工程加密措施并不安全,有些形同虚设,非法的操作者甚至能直接绕过所需的密码直接打开组态工程文件。
阅读全文 “工业控制系统中安全组态工程保护技术实现” »
固件分析之GoAhead框架ASP文件提取
GoAhead是开源的web框架,由于其高性能,高可用性,在嵌入式系统中广泛使用。传统基于GoAhead框架开发的服务端会大量使用ASP脚本语言编写动态页面,并使用C/C++语言编写功能函数注册到脚本层中供ASP脚本调用。为了更全面的进行安全审计,我们不仅要关注功能函数的实现,同时也要分析ASP脚本的处理过程。本篇文章以某个交换机固件来作为例子,讲解如何提取ASP文件。
阅读全文 “固件分析之GoAhead框架ASP文件提取” »
倍福PLC安全评估实战
CX9020是倍福公司生成的PLC,运行Microsoft Windows Embedded Compact 7操作系统,广泛运用在运动控制领域。本文会从固件逆向分析的角度来简单介绍下安全评估的方法。
阅读全文 “倍福PLC安全评估实战” »
工业互联网安全之组态工程文件安全
本文中从厂商后门,设计缺陷,算法缺陷三个方面来介绍组态工程文件加密存在的安全问题,同时在最后总结了正确的组态工程文件加密的设计机制。
阅读全文 “工业互联网安全之组态工程文件安全” »