任务 6.4：T-BOX应用漏洞分析-工作页（含答案）

任务6.4T-BOX应用漏洞分析-工作页姓名班级学号实训室小组时间接受任务车辆的安全问题涉及整个汽车产业链企业，上下游任何企业的产品缺陷都将导致严重的安全隐患。而T-BOX是实现汽车车联网的一个关键环节，具备车辆信息采集、车辆信息检测及信息交互、车辆远程控制、安全监测和报警、远程诊断、边缘计算等多种离线和在线的应用功能的载体，它的安全检测是检测中的重要一环。鸿泉HQT-401TBOX存在安全漏洞导致MQTT服务器地址泄露，身份验证不足致使攻击者可以访问甚至篡改车队的控制数据和状态数据。同学们思考一下，如何对T-BOX有哪些安全漏洞？如何对T-BOX进行安全测试？收集信息安全测试指标T-BOX的密码算法有高度的随机性和熵、加密结果均匀分布和抗已知攻击的特性。正则函数函数函数解析re.findall()用于找出字符串中所有与正则表达式模式相匹配的子串，返回一个列表，其中包含所有非重叠的匹配项；如果没有任何匹配项，返回一个空列表。re.search()用于在字符串中搜索与正则表达式模式相匹配的第一个位置，如果找到匹配项，该函数返回一个匹配对象；如果没有找到匹配项，则返回None。re.match()用于检查字符串是否从开始就符合正则表达式的模式，如果字符串从起始位置就符合整个正则表达式模式，re.match()会返回一个匹配对象；如果不符合，它会返回None。T-BOX的固件提取与分析制定计划步骤作业内容工具注意事项预计用时1实验环境准备——5mins2T-BOX固件提取Binwalk—5mins3T-BOX固件熵值检测Binwalk—5mins任务实施作业内容作业项目作业示范安装Binwalk输入指令：pythonsetup.pyinstall该指令可解压并安装Binwalk安装pyqtgraph和matplotlib库输入指令：pipinstallpyqtgraphmatplotlib该指令可从Python官网下载并安装pyqtgraph和matplotlib库✅查看pyqtgraph和matplotlib库是否安装成功请填写操作步骤：1）输入以下指令：piplist2）查看是否能找到对应的库提取固件内容✅输入指令：pythonbinwalk<文件路径>✅开始提取固件内容✅解析固件内容：MySQLMISAM的版本是9，MySQLISAM索引文件版本4T-BOX固件熵值检测✅输入命令pythonbinwalk-E<文件路径>进行熵值检测✅分析固件的加密算法：熵值为：0.999878，则该算法属于加密效果较差的算法。敏感信息检测制定计划步骤作业内容工具注意事项预计用时1导入库函数Python字符均为英文2mins2输入待匹配文本Python字符均为英文3mins3格式变换Python字符均为英文1mins4定义正则表达式Python字符均为英文10mins5存储匹配结果Python字符均为英文4mins6使用正则表达式查找匹配项Python字符均为英文10mins7打印结果Python字符均为英文5mins8敏感信息检测运行结果对比Python、敏感信息检测软件Python运行环境配置5mins任务实施作业内容作业项目作业示范导入库函数✅输入代码：importreimportjson导入正则表达式库和json库。输入待匹配文本✅输入代码：text="""[//输入待匹配文本信息]"""✅打开任务配套的“敏感信息数据来源.txt”，复制全文，粘贴到””””“”””之间格式变换✅输入代码：data=json.loads(text)此代码的作用：将json文本转换为Python格式定义正则表达式✅输入代码：#匹配邮箱的正则表达式email_regex=r'\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Z|a-z]{2,}\b'#匹配身份证号码的正则表达式id_card_regex=r'\b\d{15}|\d{18}|\d{17}X\b'#匹配电话号码的正则表达式phone_regex=r'\b(?:(?:13[0-9]|14[01456879]|15[0-35-9]|16[2567]|17[0-8]|18[0-9]|19[0-35-9])\d{8})\b'此代码的作用：定义匹配邮箱、身份证号码、电话号码的正则表达式。✅输入代码，建立空列表存储匹配结果matched_emails=[]matched_phones=[]matched_id_cards=[]查找匹配项✅输入代码，在转换后的content中查找匹配的敏感信息#遍历字典中的每个元素foritemindata:#匹配邮箱emails=re.findall(email_regex,str(item.get("content","")))matched_emails.extend(emails)#匹配电话号码phones=re.findall(phone_regex,str(item.get("content","")))matched_phones.extend(phones)#匹配身份证号码id_cards=re.findall(id_card_regex,str(item.get("content","")))matched_id_cards.extend(id_cards)打印结果✅输入代码，打印查找到的敏感信息print("找到的邮箱地址:",matched_emails)print("找到的电话号码:",matched_phones)print("找到的身份证号码:",matched_id_cards)敏感信息检测运行结果对比✅运行Python程序，查看运行结果✅上传任务提供的“敏感信息数据来源.txt”，查看敏感信息检测结果✅对比Python获取的结果和软件运行结果，观察是否一致恢复工作环境作业内容完成情况作业示例关闭所有软件✅是£否关闭笔记本电脑✅是£否检查评价班级组别姓名学号实训任务闯红灯预警场景搭建及测试评价项目评价标准分值得分小组评价知识准备能准确收集任务所需的知识5计划决策制定工作方案的合理可行5任务实施能够正确配置实验环境5能够正确操作T-BOX固件提取与分析20能够规范编写敏感信息检测程序25能够规范填写任务工单10任务达成能按照工作方案操作，按计划完成工作任务10工作态度认真严谨、积极主动，安全生产，文明施工10团队合作小组组员积极配合、主动交流、协调工作56S管理完成竣工检验、现场恢复5小计100教师评价实训纪律无无故迟到、早退、旷课现象，不违反课堂纪律10方案实施严格按照工作方案完成任务实施20团队协作任务实施过程互相配合，协作度高20工作质量能准确完成Wi-Fi弱口令检测20工作规范操作规范，三不落地，无意外事故发生10汇报展示能准确表达、总结到位、改进措施可行20小计100综合评分小组评价分×50%＋教师评价分×50%

总结反思总结反思表1.做得好的地方在哪里？£T-BOX固件提取与分析；£敏感信息检测；£其他：。2.不足之处在哪方面？£T-BOX固