电动汽车充电站管理系统安全解析

近年来的趋势是，新能源自行车的使用量在迅速上升，暴露在互联网中的充电站管理系统面对着巨大的威胁挑战，这些威胁主要来自系统设计过程中留下的漏洞，Tony等人主要结合网络空间中存在的常见漏洞与攻击方式对主流EVCSMS进行分析，发现了可能存在的漏洞并总结了可能的攻击。

分析方法：

1. 充电站管理系统查找

Tony等人首先通过网络搜索，检索到EVCS相关制造商网页、一些EVCSMS的OTA升级固件包以及一些相关开源协议项目，然后从固件、移动app以及嵌入式协议安全的三个层面对获取搜索引擎到的数据包（以太网端口的安装包）进行深入的资产流向分析与针对性的安全漏洞分析。

2. 漏洞分析

根据常见的漏洞分析技术进行深入的安全分析，比如开放式Web应用程序安全项目（OWASP）测试指南，这部分的主要工作集中在如跨站点脚本（XSS）和结构化查询语言注入（SQLi）两部分。

由于实验对象中的大多数ECVSMS都缺少对用户输入的鉴别与编码，这将给攻击者XSS攻击的机会。例如，在其中一款充电管理系统EVlink中，Tony等人在其通用网关接口的二进制程序（cgi-bin）中发现了若干端口及其GET的请求参数，这允许攻击者将恶意的JavaScript注入到Web框架中。此外，还有一些漏洞可能导致远程代码执行，例如，如果您的网络连接不正常，那么您可能无法访问您的计算机。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!