模糊测试

最新推荐文章于 2023-11-16 18:57:48 发布
最新推荐文章于 2023-11-16 18:57:48 发布
阅读量2.7k 收藏 7
点赞数 6
分类专栏: 随笔
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wu000999/article/details/86182161
版权

模糊测试(Fuzzing),是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。

从字面上理解,模糊就是不确定,我们在遇到不确定的事情时,该怎么办呢?我们需要不断尝试可能的情况,直到最终确定下来。
我们需要关注的几个点:输入、非预期、监视异常结果、软件漏洞

模糊测试(fuzz testing)是一种安全测试方法,他介于完全的手工测试和完全的自动化测试之间。为什么是介于那两者之间?首先完全的手工测试即是渗透测试,测试人员可以模拟黑客恶意进入系统、查找漏洞,这对测试人员的要求比较高。能力强的测试人员可以发现比较多或者高质量的安全性问题,但是如果测试人员的能力不够,可能就不能找到足够多、威胁大的安全漏洞。所有渗透测试对人员能力的依赖性强,成本高,难以大规模的实施。

在模糊测试中,用随机坏数据(也称做 fuzz)攻击一个程序,然后等着观察哪里遭到了破坏。模糊测试的技巧在于,它是不符合逻辑的:自动模糊测试不去猜测哪个数据会导致破坏(就像人工测试员那样),而是将尽可能多的杂乱数据投入程序中。由这个测试验证过的失败模式通常对程序员来说是个彻底的震撼,因为任何按逻辑思考的人都不会想到这种失败。
模糊测试是一项简单的技术,但它却能揭示出程序中的重要 bug。它能够验证出现实世界中的错误模式并在您的软件发货前对潜在的应当被堵塞的攻击渠道进行提示。

输入:对于软件而言,只要你需要跟用户交互,你就需要为用户提供输入的地方,比如:输入框、按钮等,对于安全而言,用户的输入都是不可信的,因为存在用户输入的地方,那么对于用户输入的内容是不可预料的,一定会有我们考虑不全的情况存在,出现非预期的情况。

非预期:我们在设计一个功能的时候,是有预期的,比如用户评论功能,只允许用户提交 50 个字,当用户成功提交了 51 个字,那么这就是非预期的情况,我们把这种情况就叫做非预期的结果,导致这个结果的原因就是漏洞或者 bug。

监视异常结果:对于一个输入口,我们在输入各种参数进行测试时,如何知道参数是否有效,那么就需要监视参数提交的过程以及提交后产生的结果是否存在异常,这里的异常就是跟我们最初预期的结果有所不同,出现这种情况就需要我们重点关注了。

软件漏洞:这是模糊测试的最终目的,不只是软件的漏洞也可以是 bug,因为漏洞和 bug 都是软件设计之初非预期的情况。

其中输入是模糊测试关键,是模糊测试是否有效的灵魂,只有你的输入是软件设计之初未考虑到情况,是非预期的输入,那么你才能发现软件的问题所在。

在做渗透测试的时候,需要模糊测试的情况有很多,比如:遇到一个用户评论的地方,我们可以尝试用不同的 xss payload 来判断是否存在 xss 漏洞;遇到一个用户登陆的地方,我们可以尝试用不同的 sql 注入的 payload 测试是否存在 sql 注入漏洞。

模糊测试在什么时候用呢?
其实各种大型的 web 扫描器的原理也包含了模糊测试的功能,我们在对一个 web 网站做渗透测试的时候,有经验的人都不会直接用扫描器,而是先熟悉 web 网站有哪些功能,用户可以控制的参数有哪些,进行简单的手工尝试之后,如果发现有一处可能存在问题,但是由于自己尝试的 payload 不能成功验证漏洞的存在,正好,自己收集了一些同类漏洞的不同 payload 列表,将这个列表中的所有 payload 均尝试一遍,监视其产生的结果,确定该处是否存在安全漏洞。

模糊测试的过程可以是手工进行,但是手工多累,所以为了代替手工,可以写一个小脚本针对那一个指定的输入口,用指定的 payload 列表,进行尝试并将结果保存下来进行分析,而扫描器的原理就是将多个模糊测试案例综合起来,自动根据不同的接口用不同的 payload 列表进行尝试,并自动分析结果是否异常,输出报告,由于不同网站的技术栈不同,可能导致结果不准确,误报、漏报等情况。

由于扫描器会对所有接口尝试所有的 payload ,所以会导致网站的压力过大,对于一些会保存到数据库的功能,会给网站维护者增加非常多的垃圾数据,由于 payload 众多,扫描器为了减少扫描时间,会使用多线程来提升扫描速率,如果网站抗压能力不强,还有可能导致网站挂掉,所以在做渗透测试项目的时候,尽量不要使用大型的 web 扫描器。

payload 哪里来?
对于扫描器而言,payload 就是其核心,如果你没有经验,让你去创造 payload 可能会有点强人所难,那么我们可以做的是收集别人的 payload,然后供自己使用。

那么如何收集不同的 payload 呢?
1、github 有非常多的开源扫描器,其中或多或少都会有扫描器作者贡献的 payload,我们只需要把他们的 payload 收集起来,并且进行分类整理。

2、如果你有使用付费扫描器的权利,你可以自己搭建一个 web 服务器,用付费的扫描器对你的 web 服务器进行扫描,你把日志搞出来分析一下,就可以获得付费扫描器的 payload 了。

3、除了上面两种情况,还有非常多黑客自己专属扫描器以及自己专用 payload,那么你想要得到他们智慧的结晶,那么你就需要诱使他们来攻击你,让他们扫描你的网站,从而通过日志获取他们的 payload,这种情况可遇不可求。

孤君
关注
  • 6
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试
yes_angel的博客
06-25 2511
渗透测试工具 网络扫描工具、通用漏洞检测、应用漏洞检测三类 网络扫描工具 1.  系统自带工具: 2. NMap 3. SuperScan 4. Wireshark:通常被用于嗅探局域网内的数据传输格式,探查是否存在明文传输口令、数据传输风险等 通用漏洞扫描工具 通用漏洞主要指操作系统本身或者安装的应用软件所存在的漏洞,通常是指缓冲区漏洞,例如MS-08-067、MS-12
模糊测试之实例讲解
03-23
模糊测试(Fuzzing),是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。测试的基本思想就是通过向程序中输入大量的随机数据,然后观察输入这些数据之 什么是模糊测试 模糊测试(Fuzzing),是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。测试的基本思想就是通过向程序中输入大量的随机数据,然后观察输入这些数据之后程序的情况,记录下使程序发生异常的数据,从而判断程序是在那些地方发生了异常。 模糊测试的实现是一个非常简单的过程: 1.准备一份插入程序中的正确的文件。
什么是模糊测试
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
04-23 2931
模糊测试的核心思想是,根据一定的规则,自动或半自动生成的随机数据,然后将产生的数据输入到程序中,并监视程序是否有异常出现,以发现可能的程序错误,如内存泄漏、系统崩溃、未处理的异常等。当一个模糊测试生成器开始启动并运行后,它将自己寻找漏洞,并不需要人工干预,非常有助于发现传统测试方法或手动审计无法检测到的缺陷。模糊测试包括几个基本的测试步骤:确定被测系统->给定输入->生成测试用例->灌入用例进行测试->监控目标程序情况->输出崩溃日志。图一:模糊测试流程。
介绍模糊测试(Fuzz Testing,Fuzzing)
热门推荐
土豆洋芋山药蛋的博客
09-24 1万+
介绍模糊测试(Fuzz Testing,Fuzzing) 一、什么是模糊测试模糊测试是一种自动或半自动的测试技术,常被用来发现软件/操作系统/网络的代码中的错误和安全性问题,其中用于输入随机的数据和不合法的数据被称为“FUZZ”。之后,系统将被监视各种异常,如系统崩溃或内置代码失败等。 模糊测试最初是由威斯康辛大学的巴顿·米勒于1989年开发的。模糊测试是一种软件测试技术,是安全测试的一种。 ...
聊聊模糊测试,以及几种模糊测试工具的介绍!
最新发布
11-16 1261
在当今的数字环境中,漏洞成为攻击者利用系统漏洞的通道,对网络安全构成重大威胁。这些漏洞可能存在于硬件、软件、协议实施或系统安全策略中,允许未经授权的访问并破坏系统的完整性。根据 "常见漏洞与暴露"(Common Vulnerabilities and Exposures,CVE)的跟踪,漏洞披露的激增令人震惊......就连。
模糊测试、黑盒测试、白盒测试、渗透测试
dwj_daiwenjie的博客
07-13 1万+
模糊测试 模糊测试 (fuzz testing, fuzzing)是一种软件测试技术。其核心思想是自动或半自动的生成随机数据输入到一个程序中,并监视程序异常,如崩溃,断言(assertion)失败,以发现可能的程序错误,比如内存泄漏。模糊测试常常用于检测软件或计算机系统的安全漏洞。 模糊测试的实现是一个非常简单的过程: 1、准备一份插入程序中的正确的文件。 2、用随机数据替换该文件的某些部分。...
软件安全(开发模型、需求分析、测试)总结
Hardworking666的博客
12-21 5271
文章目录一、软件安全开发模型二、软件安全需求分析三、软件安全测试 一、软件安全开发模型 软件生命周期由定义、开发和维护 3个时期组成。 三种软件安全开发模型特点比较: SDL系列 软件安全开发周期(Security Development Lifecycle)相关文档较为丰富。在投入大量的人力、物力进行研究和实践后,微软不断更新升级SDL版本,并通过专门网站和开发者社区对SDL进行推广。同时,SDL还有一个鲜明的特点,就是从需求分析阶段到测试阶段,都有较多的自动化工具支持它,如威胁建模、静态源代码分析等..
模糊测试 强制发掘安全漏洞的利器
09-09
模糊测试:强制发掘安全漏洞的利器》是一本系统性描述模糊测试的专著,介绍了主要操作系统和主流应用类型的模糊测试方法,系统地描述了方法和工具,并使用实际案例帮助读者建立直观的认识。随着软件安全性问题变得...
云端模糊测试挖洞实例
02-25
Fuzzing(模糊测试)是一种用于识别软件bug以及漏洞的方法。就目前的发展趋势来说Fuzzing正向着云端迈进,相较于传统Fuzzing方式,云端Fuzzing使得模糊测试速度加快也更加灵活。在本教程中,我们将与你一同走完云端...
模糊测试技术简单整理(一)
Sizaif's 小屋
04-10 8115
title: 模糊测试技术 seo_title: 模糊测试技术 author: sizaif toc: true mathjax: true tag: fuzzing 论文 sidebar: blogger toc categories: Master 论文 abbrlink: d619a3ee date: 2022-04-07 14:49:59 模糊测试技术 2022-01-09- 文章目录模糊测试技术预处理1. 插桩:2. 符号执行3. 污点分析基于AFL的模糊测试方法输入构造评估结.
模糊测试Fuzzing基础知识学习笔记
skysys的研究小屋
07-02 1325
模糊测试(Fuzzing),是一种通过向目标系统提供并监视结果来发现软件漏洞的方法。在模糊测试中,用(也称做 fuzz)攻击一个程序,然后观察哪里遭到了破坏。模糊测试(Fuzz Testing)是一种自动化的软件测试技术,最初是由威斯康辛大学的巴顿·米勒于1989年开发的,通常用于识别程序中的潜在漏洞。模糊测试的核心是自动或半自动的生成随机数据输入到应用程序中,同时监控程序的异常情况,如崩溃、代码断言失败,以此发现可能的程序错误,如内存泄漏。
Sequential模型实现手写数字识别
qq_46186155的博客
12-14 3015
Sequential模型实现手写数字识别 Sequential模型是一个神经网络的框架,只有一组输入和一组输出,各个层之间按照顺序先后堆叠。 一般来说使用Sequential搭建、使用、评估神经网络可以有以下几步: 1、建立模型 首先先导入需要的函数库和加载手写数字的训练集 import tensorflow as tf import matplotlib.pyplot as plt import numpy as np mnist = tf.keras.datasets.mnist (train_x,tr
模糊测试软件测试_模糊测试
cusi77914的博客
07-03 1824
多年来,我震惊于可能导致Microsoft Word崩溃的损坏文件数量。 几个字节不合时宜,整个应用程序就大火了。 在较旧的,不受内存保护的操作系统上,整个计算机通常会随之崩溃。 为什么Word无法识别何时收到错误数据,而只是发出错误消息? 为什么仅仅因为一些东西被扭曲而破坏了自己的堆栈和堆? 当然,Word并不是面对畸形文件时唯一表现恶劣的程序。 本文向您介绍了一种尝试避免此类灾难的技术...
渗透测试--2.漏洞探测和利用
我是个好人呀,????
05-14 3262
网络漏洞系统漏洞应用漏洞。
模糊测试,它到底模糊在哪里?
WAJXY2021的博客
08-11 283
很多朋友看到模糊测试这个名字,一开始或许都是一头雾水,什么是模糊测试?为什么叫这个名字呢?事实上,这也是我看到模糊测试这个名字的第一反应。 模糊测试作为网络安全测试的一种方法,与我们常用的其他测试方法有什么不同呢?通过查阅资料和对比,终于解决了最初的疑惑。今天,我就跟大家分享一下,到底什么是模糊测试。 什么是模糊测试? 在了解模糊测试之前,先来了解一下测试是用来做什么的。测试在我的理解看来就是,一个已经开发好的系统或者一个已经可以被调用的函数又或者是一个API和其他程序接口在我们的手中,我们通过各
模糊测试基本介绍
柷敔的博客
06-22 613
覆盖率指引的模糊测试方法获得覆盖率的四种追踪方式1使用编译器向基本块边缘插桩,可以准确地插桩并易于优化,但需要源码已知。静态二进制重写,不需要源码,仍在研究,因为静态代码插桩准确性难以保证,并且优化能力有限。这些限制条件会影响代码率信息的质量与准确性,以及二进制重写的表现。动态二进制插桩,不需要源码,可以容易、准确插入代码,但是动态翻译二进制的开销可能大到不能接受。硬件辅助追踪,不需要源码,利用内置的硬件追踪扩展,在运行时直接获取控制执行流信息。
restler 模糊测试
08-22
Restler是一种模糊测试工具,旨在帮助发现软件应用程序或Web服务中的潜在漏洞和安全漏洞。模糊测试是指通过向目标程序输入异常、非预期或随机的数据,来检测其对异常输入的处理能力和安全性。 Restler通过模拟真实的HTTP请求和随机生成有效和无效的输入数据,对目标应用程序进行大量的测试。它会自动探索目标应用程序中的API端点和参数,并使用各种模糊测试技术,如随机生成数据、边界测试、格式字符串攻击等,来尝试触发漏洞。 Restler的优势在于其自动化和高效性。它能够自动发现应用程序的API端点和参数,并自动生成和执行测试用例,无需手动编写或配置。它可以并行地发送大量请求和数据组合,快速地覆盖应用程序的不同代码路径和输入情况。 通过使用Restler进行模糊测试,可以帮助发现应用程序中可能存在的漏洞,如输入验证不足、XSS(跨站脚本攻击)、SQL注入、缓冲区溢出等。当Restler发现异常行为或异常响应时,它会产生报告,标识出潜在的漏洞点,以便开发人员进行修复和改进。 总而言之,Restler模糊测试是一种自动化的安全测试工具,通过模拟真实的请求和随机的输入数据,帮助发现应用程序中可能存在的漏洞,提高应用程序的安全性和质量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值