聊聊模糊测试,以及几种模糊测试工具的介绍!

以下为作者观点:

在当今的数字环境中,漏洞成为攻击者利用系统漏洞的通道,对网络安全构成重大威胁。这些漏洞可能存在于硬件、软件、协议实施或系统安全策略中,允许未经授权的访问并破坏系统的完整性。

根据 "常见漏洞与暴露"(Common Vulnerabilities and Exposures,CVE)的跟踪,漏洞披露的激增令人震惊......

就连开放源代码软件也未能幸免,据Synopsys的一份报告显示,在1481个受检代码库中,84%的代码库至少包含一个开放源代码漏洞。

更令人担忧的是网络犯罪的指数式增长。根据网络安全风险投资公司(Cybersecurity Ventures)的预测,2023年全球网络犯罪成本将达到8万亿美元,到 2025年估计将飙升至10.5万亿美元。

如果以一个国家来衡量,网络犯罪将成为仅次于美国和中国的世界第三大经济体。

这些数字听起来确实很吓人,如今,无论规模大小,没有一家公司能幸免于威胁。每个组织,无论规模大小,都面临着潜在的漏洞风险,危及运营、品牌声誉和收入渠道。

作为一种预防措施,漏洞评估似乎是软件安全不可或缺的组成部分。然而,手动识别漏洞是一个艰巨而耗时的过程,尤其是面对日益复杂的软件。此外,在某些情况下,由于无法直接访问软件源代码,人工审查几乎是不可能的。

解决方案在于能够自动检测漏洞的智能工具,模糊处理就是这样一种方法,它是一种高效、有效的漏洞发现方法。

什么是模糊测试?
模糊测试(又称应用程序模糊测试),可帮助团队发现软件应用程序源代码中的安全漏洞和错误。

有别于静态应用安全测试(SAST)等传统软件测试方法,模糊测试采用了一种独特的方法。

它基本上是用随机输入对代码进行轰炸,目的是引发崩溃,从而揭示隐藏的缺陷,否则这些缺陷可能会一直未被发现。这些代码缺陷(包括与业务逻辑相关的问题)标志着容易受到安全威胁的潜在高风险区域。

当出现故障或漏洞时,fuzzer(一种专门用于找出这些崩溃潜在原因的工具)就会介入,针对源代码中的特定弱点进行攻击。

模糊器(fuzzer)擅长于暴露可被 SQL 注入和跨站脚本等攻击利用的漏洞,这些攻击是恶意行为者用来破坏安全、窃取信息或破坏系统的手段。

现在我也找了很多测试的朋友,做了一个分享技术的交流群,共享了很多我们收集的技术文档和视频教程。
如果你不想再体验自学时找不到资源,没人解答问题,坚持几天便放弃的感受
可以加入我们一起交流。而且还有很多在自动化,性能,安全,测试开发等等方面有一定建树的技术大牛
分享他们的经验,还会分享很多直播讲座和技术沙龙
可以免费学习!划重点!开源的!!!
qq群号:822269834【暗号:csdn999】

 

什么是简单实用的用例?

假设用户需要在网络表单上输入电子邮件地址。

在传统测试中,通常会验证输入的正确性,确保符合预期格式(例如,包含"@"和域)。

下面是一些经典测试案例:

1.输入一个有效的电子邮件地址(如 "user@example.com")。测试通过,因为它符合预期格式。

2.输入无效的电子邮件地址(如 "user@")。由于格式出乎意料,测试失败。

在某些情况下,甚至可以添加一个额外的测试用例来覆盖空状态,仅此而已。

现在,我们来引入模糊测试。

模糊测试包括注入各种意外的、通常是恶意的输入,以识别漏洞或意外行为。

在这种情况下,模糊测试可能包括以下输入:

很长的电子邮件地址

带有特殊字符的电子邮件地址

域名不完整的电子邮件地址(如 "user@")

带有非标准字符的电子邮件地址(如 "user@ex@mple.com")

非标准编码或编码组合(如URL编码、HTML实体)

模糊测试的目标是确定系统如何处理这些意外输入。模糊测试将揭示传统测试可能忽略的潜在问题,例如:

1.系统无法处理过长的输入,导致潜在的缓冲区溢出。

2.因特殊字符导致注入攻击而产生的安全漏洞。

3.遇到不完整或畸形的电子邮件地址时,系统崩溃或出现意外行为。

4.可能导致跨站脚本 (XSS) 或其他安全漏洞的编码相关漏洞。

在这个例子中,模糊测试有助于发现传统测试可能忽略的漏洞和薄弱环节,最终提高系统的整体稳健性和安全性。在处理现实世界中可能出现的意外输入时,模糊测试尤为重要。

如果你觉得这个例子很有用,那么想象一下,把接受不同输入数据类型的多个输入字段的测试用例结合起来...... 

模糊器如何生成输入数据?

模糊器(fuzzer)旨在测试不同数据类型的各种攻击组合,包括:

数字:包括有符号和无符号整数、浮点数和其他数字数据类型。

字符:模糊测试涉及操作字符数据,如URL、命令行输入和元数据(如用户输入文本,包括ID3标签)。

纯二进制序列:模糊器也可对原始二进制数据进行操作。

通常采用的模糊处理方法是为每种数据类型定义一组 "已知危险值 "或模糊向量,然后注入或组合这些值。例如:

对于整数,可能需要使用零、潜在的负值或极大的数字。

在处理字符数据时,模糊器可能会引入转义或可解释字符和指令。例如,在 SQL 请求中,模糊测试可能涉及测试引号、命令和其他敏感字符。

在二进制数据领域,模糊器经常使用随机二进制序列来发现漏洞和弱点。

模糊测试有哪些主要类型?

模糊测试包括几种主要类型,分别针对被测软件的不同方面,即应用程序、协议和文件格式模糊测试。

应用程序模糊测试侧重于被测系统的输入和输出。对于桌面应用程序,这包括测试各个方面,例如

用户界面(UI)元素,检查按钮序列和文本输入。

命令行选项,确保正确处理不同的输入参数。

导入和导出功能,特别是文件格式处理(见下文的文件格式模糊测试)。对于网络应用程序,攻击向量可扩展到 URL、表单、用户生成的内容和远程过程调用 (RPC) 请求。

另一方面,协议模糊涉及向被测应用发送篡改或伪造的数据包。在某些情况下,模糊器可能充当代理,在重放请求之前实时更改请求。

这种方法旨在发现网络协议及其实现中的漏洞。

最后,文件格式模糊法用于评估应用程序如何处理不同的文件格式。它生成多个畸形样本并依次打开。当应用程序崩溃时,调试信息会被保留下来,以供进一步分析。

这种文件格式模糊测试主要针对两层:

解析器层(容器层):这将评估文件格式约束、结构、约定、字段大小、标志以及与格式本身相关的其他方面。

编解码器/应用层:这将深入到较低层次的攻击,探测程序更深层次的内部结构。

这种模糊类型并不常见,但近来逐渐受到重视。这类工具和实例包括:

通用文件格式模糊器,如 Ilja van Sprundel 的 "mangle.c",可修改头数据。

Zzuf,可用作模糊文件生成器。

Hachoir 等工具,可用作开发文件格式模糊器的通用解析器。

这些类型的模糊测试在识别漏洞和加强软件系统安全性方面发挥着至关重要的作用。

模糊测试工具有哪些?

一些免费的开源模糊测试工具,为识别和缓解软件应用程序中的漏洞提供了重要资源:

1.Google OSS-Fuzz

Google的OSS-Fuzz项目是一项开源计划,源于他们在开发Chrome OS和 Chrome浏览器时对模糊测试的广泛使用。

它利用各种模糊引擎,包括AFL++、libFuzzer和Honggfuzz。

兼容C、C++、Rust、Go、Python、Java/JVM等语言,还可能兼容其他语言。

支持x86-64和i386版本,拥有强大的社区支持。

2.FuzzDB

FuzzDB是一个广泛的攻击有效载荷和注入技术库,旨在暴露应用程序中的漏洞。

按平台类型、潜在问题、源暴露等进行分类。

非常适合与可编程模糊引擎一起使用,结合已知和未知的攻击模式。

3.Ffuf(Fuzz Faster U Fool)

Ffuf 是一个用Go编写的模糊引擎,是一个功能强大、基于命令行的工具。

它功能强大,基于命令行,适用于常见的模糊任务,如测试应用程序对未知 GET和POST请求的响应。

定期更新新功能;支持赞助模式,可立即获得更新。

4.Google ClusterFuzz

谷歌的ClusterFuzz用于发现Chrome浏览器中的漏洞,它与OSS-Fuzz项目集成,可以对任何程序或应用程序进行模糊测试。

值得注意的是它的扩展能力,甚至可以运行在10万台虚拟机上进行大规模测试。

5.go-fuzz

备受推崇的模糊平台,用于测试Go语言包,尤其是解析复杂输入的语言包。

对于加强解析来自潜在恶意源(如基于网络的应用程序)的输入的系统而言,该平台非常有价值。

6.Jazzer.js

Jazzer.js是Code Intelligence开发的一款专为Node.js平台定制的覆盖引导型进程内模糊器。

它以libFuzzer为基础,为JavaScript生态系统引入了仪器驱动的突变功能。

它是通过系统识别漏洞来增强Node.js应用程序安全性的理想工具。

模糊测试的优点和局限性

使用Fuzz测试有以下几个优点:

自动化:模糊测试可配置为自动运行测试,只需最少的人工干预,从而节省时间和资源。

系统化方法:模糊测试的随机输入消除了人为偏差,发现了人工测试人员可能遗漏的漏洞。

适用于封闭系统:在封闭系统中,由于内部工作原理模糊不清,模糊测试往往是唯一可行的选择。例如,在人工智能和深度学习等输入输出关系复杂且不明确的应用中,模糊测试是必不可少的。

但是,模糊测试也存在一些局限性:

遗漏某些攻击类型:模糊测试无法有效识别不会导致程序崩溃的安全威胁,如间谍软件、病毒、蠕虫、木马和键盘记录程序。

设置复杂:管理和监控模糊测试需要专业的编码知识和有效的错误处理。

范围有限:模糊测试仅提供错误检测,但不能对安全性、质量和有效性进行全面评估。在软件开发过程中,有必要采用功能测试和 beta 测试等其他测试方法。

结论

软件漏洞对网络安全构成了巨大威胁,CVE 报告和开放源代码漏洞呈指数级增长。网络犯罪的激增进一步加剧了采取强有力安全措施的紧迫性。

漏洞评估至关重要,但人工识别具有挑战性,尤其是在复杂的软件中。模糊测试作为一种自动化、高效的方法,提供了一种令人信服的解决方案。它善于发现隐藏的缺陷并增强安全性,包括各种类型,如应用程序、协议和文件格式模糊测试,从而增强软件的安全性。

虽然模糊测试可能会漏掉某些攻击类型,需要编码方面的专业知识来进行设置和监控,而且只能对软件安全性进行部分评估,但总体而言,模糊测试对于在当今不断变化的威胁环境中确保软件应用程序的安全和降低风险至关重要。它与其他测试方法相辅相成,形成了现代软件安全的整体方法。

最后感谢每一个认真阅读我文章的人,看着粉丝一路的上涨和关注,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走!

软件测试面试文档

我们学习必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有字节大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/212794.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【计算机网络】应用层电子邮件协议

一、电子邮件系统架构 电子邮件是一个典型的异步通信系统,发送方从UA,也就是邮件客户端,通过应用层SMTP协议,传输层tcp协议,发送给发送方的邮件服务器,比如使用的是163邮箱,163提供的SMTP服务器…

C //例10.3 从键盘读入若干个字符串,对它们按字母大小的顺序排序,然后把排好序的字符串送到磁盘文件中保存。

C程序设计 (第四版) 谭浩强 例10.3 例10.3 从键盘读入若干个字符串,对它们按字母大小的顺序排序,然后把排好序的字符串送到磁盘文件中保存。 IDE工具:VS2010 Note: 使用不同的IDE工具可能有部分差异。 代码块 方法…

苹果Vision Pro即将量产

据界面新闻消息,苹果公司将在今年12月正式量产第一代MR(混合现实)产品Vision Pro。苹果公司对Vision Pro寄予了厚望,预计首批备货40万台左右,2024年的销量目标是100万台,第三年达到1000万台。 苹果的供应…

Vue极致性能优,史上最全指南!!!(持续更新)

关于Vue性能优化这个话题感觉大家一定都不陌生,不管做没做过,肯定是多少听说过的,面试的时候也没被少问 每次面试被问到性能优化,肯定只会照着面试题上的答案背一遍,并且心里默念,别再往下问啦&#xff0c…

mediapipe+opencv实现保存图像中的人脸,抹去其他信息

mediapipeopencv MediaPipe本身不提供图像处理功能,它主要用于检测和跟踪人脸、手势、姿势等。如果您想要从图像中仅提取人脸主要信息并去除其他信息. # codingutf-8 """project: teatAuthor:念卿 刘file: test.pydate&…

数字化升级,智慧医疗新时代——医院陪诊服务的技术创新

在信息技术飞速发展的今天,医疗服务正迎来数字化升级的新时代。本文将探讨如何通过先进技术的应用,为医院陪诊服务注入更多智慧元素,提升患者和家属的医疗体验。 1. 创新医疗预约系统 # Python代码演示医疗预约系统的简单实现 class Medic…

ZStack Cloud构建青州市中医院核心业务云平台

青州市中医院通过ZStack Cloud云平台构建云基础设施,实现对原有物理机和分布式存储平台的利旧和纳管,有效将HIS(医院管理系统)、PACS(影像系统)等核心业务系统进行统一管理;同时,借助…

如何选择 Facebook 代理?

Facebook上从事业务推广、广告或资料推广以及群组的用户需要高质量且可靠的代理。使用代理,用户可以在账号被封锁的情况下访问自己的资料,同时与多人进行即时通信,并能够: 自动发送邀请参加各种活动; 通过特殊的机器人…

OpenCL学习笔记(三)手动编译开发库(win10+mingw64)

前言 有的小伙伴仍然在使用mingw编译器,这时只能重新编译opencl的sdk库。本文档简单记录下win10下,使用mingw11.20编译的过程,有需要的小伙伴可以参考下 一、安装所需软件 1.安装git,教程比较多,不再重复 2.安装cm…

【开发问题】vue的前端和java的后台,用sm4,实现前台加密,后台解密

sm4加密 vue引入的包代码加密解密 javamaven代码运行结果 vue 引入的包 npm install sm-crypto代码加密解密 加密: key :代表着密钥,必须是16 字节的十六进制密钥 password :加密前的密码 sm4Password :代表sm4加密…

丢掉破解版,官方免费了!!!

哈喽!大家好。 几天不见,今天给大家带来一款海外的神器,官方宣布完全免费,但仅限于个人与教育用途,切勿商用噢! 不要看这个软件名字普普通通,实际上内蕴乾坤! 接下来看我给大家炫一…

华为云RDS通用型(x86) vs 鲲鹏(ARM)架构的性能对比

概述 之前,我们对比了阿里云RDS的经济版(ARM)与x86版的性价比,这次我们来看看华为云的RDS MySQL的“通用型”(x86)与“鲲鹏通用增强型”(ARM)版本的情况如何。 这里依旧选择了用户较为常用的4c16g的规格进行测试,测试…

基于jsp+servlet的图书管理系统

基于jspservlet的图书管理系统演示地址为 图书馆后台管理系统 用户名:mr ,密码:123 图书馆管理系统主要的目的是实现图书馆的信息化管理。图书馆的主要业务就是新书的借阅和归还, 因此系统最核心的功能便是实现图书的借阅和归还。此外,还需要提供图书…

VIT总结

关于transformer、VIT和Swin T的总结 1.transformer 1.1.注意力机制 An attention function can be described as mapping a query and a set of key-value pairs to an output, where the query, keys, values, and output are all vectors. The output is computed as a wei…

MySQL数据库,函数与分组

单行函数: 操作数据对象 接受参数返回一个结果 只对一行进行变换 每行返回一个结果 可以嵌套 参数也可以是一列或一个值 数值函数 基本函数: 注:ROUND(x,y)函数的y是负数时,即往高位进行四舍五入,如-3就是按百位…

Plonky2 = Plonk + FRI

Plonky2由Polygon Zero团队开发,实现了一种快速的递归SNARK,据其团队公开的基准测试,2020年,以太坊第一笔递归证明需要60s生成,而于今Plonky2在 MacBook Pro上生成只需 170 毫秒。 下面将逐步剖析Plonky2。 整体构造 …

acwing-Linux学习笔记

acwing-Linux课上的笔记 acwing-Linux网址 文章目录 1.1常用文件管理命令homework作业测评命令 2.1 简单的介绍tmux与vimvimhomeworktmux教程vim教程homework中的一些操作 3 shell语法概论注释变量默认变量数组expr命令read命令echo命令printf命令test命令与判断符号[]逻辑运算…

Hive HWI 配置

前言 1、下载安装好hive后,发现hive有hwi界面功能,研究下是否可以运行,于是使用hive –service hwi命令启动hwi界面报错。 启动hwi功能 2、访问192.168.126.110:9999/hwi,发现访问错误 一、HWI介绍 HWI(Hive Web Int…

借助乔拓云,轻松驾驭小程序开发

在当今数字化时代,微信小程序已经成为企业和个人开展业务、提升用户体验的重要工具。然而,要想成功地开发并运营一个小程序,却不是一件容易的事情。在这个过程中,第三方开发平台的出现为开发者提供了一个便捷、高效、可靠的解决方…

【android开发-22】android中音频和视频用法详解

1,播放音频 MediaPlayer是Android中用于播放音频和视频的类。它提供了许多方法来控制播放,例如播放、暂停、停止、释放等。下面是一个简单的MediaPlayer用法详解和参考代码例子。 首先,确保在布局文件中添加了一个MediaPlayer控件&#xff…