Wisdom 新一代智能模糊测试平台

作者: /

一、产品定位

Wisdom 是国内首创的模糊自定义测试工具,打破了开发、测试、运维、管理环节的数据壁垒,支持超大型应用从开发、迭代到维护全流程的可视化黑盒测试跟踪与分析。
产品可广泛适配各行业软硬件环境的安全测试需求,已被纳入 ISO 21434 国际车辆网络安全工程规范、国内机器人 / 5G 安全检测等多项行业标准的核心测试技术体系,是企业级软硬件安全漏洞挖掘与风险防控的核心解决方案。

二、核心产品与技术架构

1. 产品架构

Wisdom 采用平台端 + 多引擎端分布式架构,单平台可接入多个测试引擎,实现任务分布式调度与集中化管理:
  • 平台端:负责协议模型维护、测试任务管理、测试记录与报告、用户与权限管控、引擎调度等核心管理能力;
  • 引擎端:负责执行平台下发的模糊测试任务,内置发包器、监控器、变异器、修正器、转换器、取值器六大核心基础组件,完成测试用例生成、数据包发送、目标状态监控、漏洞数据上报全流程执行。

2. 技术架构

系统采用 B/S 架构,前端基于 Vue+TypeScript 开发 Web 应用,后端采用 Python 语言及 DRF 框架开发 RESTful API,引擎端基于 Python 原生开发。整体架构分为展现层、控制层、业务层、持久层四层,具备高扩展性、高并发性与高稳定性,可无缝对接企业敏捷开发与持续集成流程。

三、产品核心优势

1. 300 + 丰富变异算法,全维度漏洞覆盖

系统内置 300 余种变异算法,可灵活配置模糊测试变异策略,既能精准识别协议相关已知 CVE 漏洞,也可深度挖掘缓冲区溢出、越界读写、SQL / 命令注入、XSS、整数溢出等数十类未知 CWE 漏洞类型,全面覆盖传统测试方法难以捕捉的安全隐患。

2. 200 + 协议原生支持,全场景适配

内置 200 余种协议的数据模型与对应发包器,覆盖基础网络协议、网络应用协议、无线协议、总线协议、工业控制协议、路由协议、链路层协议、安全加密协议、物联网协议、汽车车载协议、医疗 DICOM 协议等全品类协议,同时支持各类文件格式、硬件接口的模糊测试,一站式满足多行业测试需求。

3. 可视化低代码配置,零门槛快速上手

全可视化图形界面展示协议数据模型与状态机模型,初级用户可直接基于内置协议模型,快速修改变异策略、生成测试套件,以极低门槛启动模糊测试;高级用户可自主定义数据模型、状态机与变异规则,满足私有协议、深度定制化的测试需求。

4. 高自由度插件扩展,无限定制能力

支持用户基于 Python 语言继承对应基类,自主开发发包器、监控器、变异器、修正器等核心基础组件,实现模糊测试引擎功能的深度扩展,完美适配企业个性化、特殊化的测试场景。

5. 精准漏洞定位 + 一键复现,提效漏洞闭环

内置 ICMP 监控、内存监控、进程监控、Crash 监控、串口监控等多维度监控体系,可快速定位触发漏洞的测试用例与协议状态;平台完整留存漏洞全链路测试数据,支持测试用例一键回放,快速复现漏洞,大幅降低漏洞分析与修复成本。

四、核心功能模块

  1. 数据模型自定义:提供可视化画布,支持拖拽式创建与编辑数据模型,覆盖字符串、整数、比特位、数组等全基础数据类型,内置校验和计算、Hash 计算、加解密、编解码等高级功能,可灵活定义字段约束、变异规则与出现条件。
  2. 变异策略与执行管理:内置通用变异算法与企业自研专属变异算法,支持变异器参数精细化调整、变异包实时预览;强大的执行引擎可保障测试全流程实时监控,发现漏洞时自动生成包含完整触发信息的漏洞报告。
  3. 可视化状态机设计:界面化定义协议交互的状态流程,支持输入、输出、函数调用、监控嵌入等多类动作,可将监控器深度嵌入状态机流程,精准定位漏洞触发的具体节点,完美适配复杂协议的交互测试场景。
  4. 标准化协议库与基础组件:提供数百种标准化协议分类库,同时开放发包器、监控器、变异器等可复用基础组件,用户可灵活组合配置,快速搭建适配自身业务的测试体系。

五、安全与合规保障

产品设计严格遵循《中华人民共和国数据安全法》、网络安全等级保护 2.0 等国家法律法规,适配汽车、工控、金融、证券、军工等多行业的安全标准与监管要求。
系统内置完善的数据保护与隐私管理体系,全方位保障测试全流程的数据机密性、完整性与可用性,助力企业快速满足行业合规要求,构建体系化安全防护能力。

六、典型应用场景

  1. 汽车电子与车联网安全:针对车载蓝牙、CAN 总线、DoIP、OBD-II、UDS 等车载协议开展模糊测试,可挖掘车机中控崩溃、服务重启、权限绕过等高风险漏洞,满足 ISO 21434 车联网安全标准要求。
  2. 工业控制系统安全:适配 Modbus、Profinet、IEC 104、DNP3 等主流工控协议,为电力、制造、市政等行业的工控系统提供安全测试能力,保障工业生产环境稳定运行。
  3. 智能终端与物联网安全:覆盖蓝牙、WiFi、MQTT、OPC UA 等无线与物联网协议,可对手机、智能硬件、物联网终端开展测试,挖掘设备崩溃、远程代码执行等高危漏洞。
  4. 硬件接口安全测试:针对 Uart、USB、Fastboot 等硬件常用接口开展模糊测试,发现接口保护绕过、权限提升等底层安全隐患。
  5. 通用网络与应用系统安全:支持 HTTP/HTTPS、DNS、FTP、SSH 等通用网络协议测试,为企业业务系统、网络基础设施提供全生命周期的安全测试能力。

 

滚动至顶部