部分参考自：《西门子S7-200/300/400系列PLC自学手册 第2版》 中国电力出版社 高安妮

SIMATIC是西门子自动化系列产品品牌统称，来源于SIEMENS + Automatic（西门子+自动化），涵盖了从PLC、工业软件到HMI。SIMATIC控制器从S3系列发展到S7系列，已经成为中国自动化用户最为信赖和熟知的品牌。

PLC（Programmable Logic Controller，可编程逻辑控制器）是一种专门为在工业环境下应用而设计的数字运算操作电子系统。

SIMATIC S7 PLC 是在S5系列PLC基础上与1995年陆续推出的最新一代控制器，具有模块化、无风扇的结构。
下图从应用复杂性、控制器性能、接口3个方面对SIMATIC PLC产品进行了一个明确的分类：
要注意的是在每个控制器大类下还有许多的CPU型号可供选择，以S7-1200为例：

产品定位：小型PLC系统（256点以下）
简述：整体式结构小型PLC。一度在中国市场上很流行，适用于各行各业中的检测、监测及控制的自动化，极具性价比。教学用PLC型号之一。
S7-200的CPU模块基本参数见下：
S7-200的基本结构见下：
S7-200还具备丰富的扩展模块，如IO模块、定位模块、称重模块、通信模块。

1. IO模块：有数字量输入/输出扩展模块和模拟量输入/输出扩展模块
2. 定位模块：用于位置控制
3. 称重模块：用于测量实际的重量值
4. 通信模块：有总线扩展模块、以太网扩展模块、电话接口扩展模块、无线扩展模块。

不同规格的CPU最大扩展能力受到了一定限制，低配CPU如CPU 211甚至不允许扩展。

S7-300（部分型号停产）

产品定位：中型PLC系统（256-1024点）
简述：相比于S7-200，具备更进一步的模块化结构设计（CPU模块、I/O模块和电源模块分离，提出机架概念），更多的编程语言支持以及更具差异化的编程理念。
S7-300 CPU包括标准型、紧凑型、户外型、故障安全型、以及运动控制型（T-CPU）。

1. 标准型面向生产制造领域；
2. 紧凑型根据不同型号分别集成了IO、通信接口以及技术、测量、PID控制、定位控制等功能。
3. 故障安全系统在故障发生时会立即达到安全状态，以避免事故和损害。
4. T-CPU不许要增加额外的运动控制面板，即能通过PROFIBUS-DP总线组成分布式的伺服控制系统。

S7-300的CPU模块基本参数见下：
S7-300的基本结构见下：

1. 导轨：是安装各类模块的机架。S7-300采用背板总线方式将各模块从物理上和电气上连接起来。
2. 电源模块（PS）：它与CPU模块和其它信号模块之间通过电缆连接，而非背板总线连接。
3. 接口模块（IM）：用于机架扩展
4. 信号模块（SM）：有DI/DO模块和AI/AO模块
5. 功能模块（FM）：有驱动定位模块、电子凸轮控制模块、步进电机定位模块、伺服电机定位模块、智能位控模块等。
6. 通信处理器模块（CP）

S7-400（部分型号停产）

产品定位：大型PLC系统（1024点以上）
简述： 继承了S7-300的特性，并具备更加强大的性能。与S7-200进行比较时，后二者往往并列表示（S7-300/400，因其设计理念相同）。
S7-400的几种典型CPU模块基本参数见下：
S7-400的基本结构见下：

产品定位：小型PLC系统（256点以下）
简述：面向中国市场的S7-200升级版，总的来说缺乏新意，最大的改变大概是标配以太网口。从西门子官方的主推力度来看，其前景显然不如S7-1200。

产品定位：小型PLC系统（256点以下）
简述：同S7-200/200SMART类似的紧凑型结构化设计，是单机小型自动化系统的完美解决方案。S7-1200的设计注重了控制器、人机界面和软件间的无缝集成以及完美互动。

S7-1200的主要设计目的是弥补S7-200系列产品的不足，以及与S7-300系列产品进行良好的衔接。

产品定位：中大型PLC系统（256点以上）
简述：SIMATIC产品线中的最强PLC，具备卓越的系统性能，可完美接替S7-300/400的工作，其运动控制功能更是傲视群雄。在外观上，其最大特点是装配了一块显示屏，用于显示CPU运行状态和故障信息等。

HMI（Human Machine Interface，人机界面）是系统和用户之间进行交互和信息交换的媒介，它实现信息的内部形式与人类可以接受形式之间的转换。

SIMATIC HMI主要有3个系列的产品：精简面板、精彩面板和精智面板。考虑到高昂的售价，HMI中低端市场正逐渐被以MCGS、威纶通为首的国产厂商所占据，从这个角度来看，似乎西门子系面板的竞争力正在被进一步削弱。

产品定位：经济HMI设备
简述：通常带有实体按钮，适用于规模较小但对性价比要求较高的简单应用。

产品定位：标准HMI设备
简述：性能中规中矩，提供了人机界面的标准功能。SMART LINE在HMI产品线的定位大概同S7-200 SMART在PLC产品线的定位，而精简和精智更像是同一个系列（皆可使用Portal进行组态）。

产品定位：高端HMI设备
简述：与精彩面板系列相比，拥有更多的接口、更强大的性能以及组态功能（数据记录、配方等），可满足设备级的各种高可视化要求。

“组态(Configure)”的含义是“配置”、“设定”、“设置”等意思，是指用户通过类似“搭积木”的简单方式来完成自己所需要的软件功能，而不需要编写计算机程序，也就是所谓的“组态”。它有时候也称为“二次开发”，组态软件就称为“二次开发平台”。

值得一提的是西门子工业软件产品兼容性极其糟糕。

STEP 7是PLC组态软件，具有以下功能：硬件配置和参数设置、通讯组态、编程、测试、启动和维护、文件建档、运行和诊断功能等。

STEP7有两大分类：STEP7经典版和STEP7博途版，简单来讲经典版是早期推出的独立运行的软件，而博途版则是后期推出并被集成进博途软件中。通常，串口时代的PLC系列同时支持STEP7经典版和STEP7博途版（如S7-300/400；S7-200/200SMART除外，此款产品定位特殊，只推出了经典版），而网口时代的PLC系列则只有博途版。目前使用STEP7博途版已成主流，性能更强劲，且官方支持力度更大。
STEP7拥有多个版本，下述列举的版本中包含了STEP7经典版和STEP7博途版（博途版也分为多个版本）：

1. Step7 Basic ——针对于西门子最新的S7-1200系列的编程软件，其中可以包含S7-1200专用的触摸屏进行组 态，同时也可以对1200专用1的伺服进行设定。
2. Step7 Lite——受限制的Step7版本，仅可以使用该版本组态本地机架，不可组态网络。

WinCC flexible本身属于经典版，而WinCC则拥有经典版和博途版，只不过WinCC博途版只用于HMI组态，相当于WinCC flexible博途版。精简和精智面板同时支持经典版和博途版，而精彩面板则只有经典版（同样是因为产品定位原因）。
WinCC flexible同样拥有多个版本，此处仅列举经典版：
按推出的时间顺序进行排列：

TIA（Totally Integrated Automation，全集成自动化）博途将所有自动化软件工具集成在统一的开发环境中，它是世界第一款将所有自动化任务整合在一个工程设计环境下的软件。

SCADA(Supervisory Control And Data Acquisition)系统，即数据采集与监视控制系统，是以计算机为基础的生产过程控制与调度自动化系统。它可以对现场的运行设备进行监视和控制。由于各个应用领域对SCADA的要求不同，所以不同应用领域的SCADA系统发展也不完全相同。

SIMATIC WinCC(Windows Control Center)–视窗控制中心，西门子最经典的过程监视系统，能为工业领域提供完备的监控与数据采集（SCADA）功能，同时远远超越传统SCADA系统的范畴。
在上文中已提及WinCC具有经典版和博途版两个版本，但作为SCADA软件，则只有WinCC符合该定义。

DCS（Distributed Control System，分散控制系统），其主要特征是它的集中管理和分散控制，至于说DCS与SCADA的区别，坦白说我分不清。
PCS7是西门子的DCS系统，我只用过ABB的WinCS，对于PCS7相当陌生，这里我就非常不严谨的用WinCS类比PCS7，因为DCS的内核都是差不多的。PCS7基于过程自动化，从传感器、执行器到控制器，再到上位机，自下而上形成完整的TIA（全集成自动化）架构。主要包括Step7、CFC、SFC、Simatic Net和WinCC以及PDM等软件，组态对象选用S7-400高端CPU，一般应用于钢铁和石化等行业。
我对于DCS和SCADA软件的使用程度较浅，个人感觉其实DCS相当于WinCC+Step7（实际上远不如此），这是因为DCS也能进行PLC组态和工控机监控画面组态（WinCS的使用角度），之所以不能等同，可以引用以下这段话：

PCS7并不等同于Step7+WinCC，PCS7中的OS中的很多模板和画面都是在Step7中用CFC和SFC自动生成的，变量记录和报警记录也都是由Step7中编译传送到WinCC中去的，并不需要象使用普通WinCC那样手动组态画面、变量记录和报警记录。

渗透测试面试问题2019版

\技术。IIS 中默认不支持，ASP只是脚本语言而已。入侵的时候asp的木马一般是guest权限…APSX的木马一般是users权限。

54、如何绕过waf？

56、渗透测试中常见的端口

b、数据库类(扫描弱口令)

c、特殊服务类(未授权/命令执行类/漏洞)

d、常用端口类(扫描弱口令/端口爆破)

• 文件上传有哪些防护方式
• 计算机网络从物理层到应用层xxxx
• 有没有web服务开发经验
• mysql两种提权方式（udf，？）
• 有没有抓过包，会不会写wireshark过滤规则

1、使用安全的API 2、对输入的特殊字符进行Escape转义处理 3、使用白名单来规范化输入验证方法 4、对客户端输入进行控制，不允许输入SQL注入相关的特殊字符 5、服务器端在提交数据库进行SQL查询之前，对特殊字符进行过滤、转义、替换、删除。 6、规范编码,字符集

为什么参数化查询可以防止sql注入

使用参数化查询数据库服务器不会把参数的内容当作sql指令的一部分来执行，是在数据库完成sql指令的编译后才套用参数运行

简单的说: 参数化能防注入的原因在于,语句是语句，参数是参数，参数的值并不是语句的一部分，数据库只按语句的语义跑

盲注是什么？怎么盲注？

盲注是在SQL注入攻击过程中，服务器关闭了错误回显，我们单纯通过服务器返回内容的变化来判断是否存在SQL注入和利用的方式。盲注的手段有两种，一个是通过页面的返回内容是否正确(boolean-based)，来验证是否存在注入。一个是通过sql语句处理时间的不同来判断是否存在注入(time-based)，在这里，可以用benchmark，sleep等造成延时效果的函数，也可以通过构造大笛卡儿积的联合查询表来达到延时的目的。

宽字节注入产生原理以及根本原因

在数据库使用了宽字符集而WEB中没考虑这个问题的情况下，在WEB层，由于0XBF27是两个字符，在PHP中比如addslash和magic_quotes_gpc开启时，由于会对0x27单引号进行转义，因此0xbf27会变成0xbf5c27,而数据进入数据库中时，由于0XBF5C是一个另外的字符，因此\转义符号会被前面的bf带着"吃掉"，单引号由此逃逸出来可以用来闭合语句。

统一数据库、Web应用、操作系统所使用的字符集，避免解析产生差异，最好都设置为UTF-8。或对数据进行正确的转义，如mysql_real_escape_string+mysql_set_charset的使用。

如果此 SQL 被修改成以下形式，就实现了注入