随着工业互联网的发展，设备终端自身的安全问题越来越突出.如何对工业控制系统终端进行有效的安全测试已成为亟待研究和解决的关键问题.依据渗透测试流程，以输入验证错误漏洞渗透为例，研究工业控制系统终端的渗透测试应用方法.该方法从信息收集和渗透工具入手，对系统输入验证进行深入了解.在漏洞挖掘阶段，提出利用敏感测试输入对该漏洞的形式进行建模，并设计适用于工控程序的种子变异模式.该方法能够有效检测工控系统终端的输入验证错误漏洞，并发现大多数工控系统终端都存在同样的问题.实验中同时发现了由输入验证漏洞所产生的数据篡改、拒绝服务、权限获取和恶意脚本注入等安全威胁.最后为工控系统终端安全保护和设备防护提供了安全防护建议.

• 单位
  西北工业大学