模糊测试

最新推荐文章于 2024-05-22 20:31:34 发布
最新推荐文章于 2024-05-22 20:31:34 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: 网络安全 文章标签: 漏洞 数据 异常
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_27386223/article/details/47404871
版权

模糊测试是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。

实现流程:
1. 确定测试的目标
2. 确定输入的向量
3. 生成模糊测试数据
4. 执行模糊测试数据
5. 监视异常
6. 判断发现是否有漏洞可以被利用

模糊测试一般分为两大类:
1. 本地模糊测试
应用于本地系统或者托管的目标系统上,比如命令行模糊测试、文件格式模糊测试、
内核模糊测试。

  1. 远程模糊测试
    远程模糊测试远程测试目标网络。比如:网络协议模糊测试、数据库模糊测试、Web模糊测试。

我主要研究的是网络协议模糊测试:
网络协议模糊测试的对象主要是各类网络产品中的网络协议解析模块,目的是测试其在组装、解析网络协议过程中是否出现漏洞。其思想是通过Socket与被测目标之间进行通信,向被测目标应用发送变异或者包含错误的模糊值,并监视目标应用以发现错误。

目前最常见的网络协议模糊测试实施方案有两种:
1.客户端和服务端模式。自己写的模糊器或者第三方模糊测试器可以分别用来充当客户端和服务端,以此来测试相应的服务端和客户端的安全性。比如Web服务程序。
2.为了测试防火墙、路由器、安全网关等部署在网络中间的设备。模糊器构造的数据被发送到协议服务器的过程中,位于模糊器和协议服务器之间的被测对象起到了重组和解析的作用,一旦重组和解析过程中出错,可能造成被测对象出现异常状态。模糊器中的监控模块用来对被测对象的异常状态进行收集、分析,最终定位漏洞所在。

Unix平台自动化网络协议模糊测试
1.使用SPIKE模糊测试框架
SPIKE用模糊字符串库中的内容迭代模糊变量,达成模糊测试。模糊字符串可以是任何数据类型。
SPIKE包含了一部分预先写好的针对具体协议的模糊测试器,比如:HTTP模糊测试器、Microsoft RPC模糊测试器、X11模糊测试器、Citrix模糊测试器、Sun RPC模糊测试器等。
还有一些通用的模糊测试脚本等。

baidu_27386223
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Sequential模型实现手写数字识别
qq_46186155的博客
12-14 3013
Sequential模型实现手写数字识别 Sequential模型是一个神经网络的框架,只有一组输入和一组输出,各个层之间按照顺序先后堆叠。 一般来说使用Sequential搭建、使用、评估神经网络可以有以下几步: 1、建立模型 首先先导入需要的函数库和加载手写数字的训练集 import tensorflow as tf import matplotlib.pyplot as plt import numpy as np mnist = tf.keras.datasets.mnist (train_x,tr
模糊测试之实例讲解
03-23
模糊测试(Fuzzing),是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。测试的基本思想就是通过向程序中输入大量的随机数据,然后观察输入这些数据之 什么是模糊测试 ...
模糊测试、黑盒测试、白盒测试、渗透测试
dwj_daiwenjie的博客
07-13 1万+
模糊测试 模糊测试 (fuzz testing, fuzzing)是一种软件测试技术。其核心思想是自动或半自动的生成随机数据输入到一个程序中,并监视程序异常,如崩溃,断言(assertion)失败,以发现可能的程序错误,比如内存泄漏。模糊测试常常用于检测软件或计算机系统的安全漏洞模糊测试的实现是一个非常简单的过程: 1、准备一份插入程序中的正确的文件。 2、用随机数据替换该文件的某些部分。...
什么是模糊测试
最新发布
weixin_71807218的博客
05-22 1009
模糊测试的核心思想是,根据一定的规则,自动或半自动生成的随机数据,然后将产生的数据输入到程序中,并监视程序是否有异常出现,以发现可能的程序错误,如内存泄漏、系统崩溃、未处理的异常等。当一个模糊测试生成器开始启动并运行后,它将自己寻找漏洞,并不需要人工干预,非常有助于发现传统测试方法或手动审计无法检测到的缺陷。模糊测试包括几个基本的测试步骤:确定被测系统->给定输入->生成测试用例->灌入用例进行测试->监控目标程序情况->输出崩溃日志。图一:模糊测试流程。
渗透测试--2.漏洞探测和利用
我是个好人呀,????
05-14 3233
网络漏洞系统漏洞应用漏洞
Fuzzing(模糊测试)的前世今生(下)
m0_73736695的博客
12-02 1158
网络协议的模糊测试可能是最广泛被利用的模糊测试类别,目前存在很多不同的方法来实现对网络协议的模糊测试。网络协议的模糊测试模型如下图所示。环境变量和参数的模糊测试属于本地化的模糊测试,尽管这种测试方法是一种最简单的模糊测试,但也能发现很多远程测试所发现不了的漏洞, 对环境变量和参数进行模糊测试对增强本地私有程度很有帮助。模糊测试技术的应用十分广泛,可不同场景中对各种对象进行模糊测试,常见的测试对象包括扩源代码、二进制文件、环境变量和参数、Web应用程序、文件格式、网络协议、Web浏览器和内存数据等。
模糊测试 强制发掘安全漏洞的利器
09-09
模糊测试:强制发掘安全漏洞的利器》是一本系统性描述模糊测试的专著,介绍了主要操作系统和主流应用类型的模糊测试方法,系统地描述了方法和工具,并使用实际案例帮助读者建立直观的认识。随着软件安全性问题变得...
云端模糊测试挖洞实例
02-25
Fuzzing(模糊测试)是一种用于识别软件bug以及漏洞的方法。就目前的发展趋势来说Fuzzing正向着云端迈进,相较于传统Fuzzing方式,云端Fuzzing使得模糊测试速度加快也更加灵活。在本教程中,我们将与你一同走完云端...
新的差分模糊测试工具揭示了新型HTTP请求夹带攻击技术
伤心的辣条
10-18 639
白皮书系统性地诊察了攻击,同时展示了一系列新的缺陷清单研究人员发布了一种新的模糊测试工具,用于寻找新型HTTP请求夹带攻击技术技术。该工具被称为“T-Reqs”,由来自东北大学、波士顿和 Akamai 的团队研发搭建。在一份白皮书 (PDF) 中,研究人员讨论了他们如何使用模糊测试工具发现大量新漏洞,他们表示漏洞赏金猎人和研究人员都可以使用这些漏洞
kitty:用python编写的模糊测试框架
02-06
kitty:用python编写的模糊测试框架
模糊测试Fuzzing详细总结
m0_57007180的博客
01-12 6733
目录 1.简介 2.测试步骤 (1)确定输入向量 (2)生成模糊测试数据 (3)执行模糊测试 (4)监视异常 (5)根据被测系统的状态判断是否存在潜在的安全漏洞 3.举例和方法 (1)方法1 (2)方法2 5.总结 1.简介 模糊测试(Fuzz Testing)的理论和应用目前都已成熟,已有各种Fuzz安全测试的框架、工具和书籍问世。在信息安全领域,很多安全测试都引入了Fuzz Testing思想进行安全漏洞挖掘 模糊测试是一种介于完全的手工渗透测试与完全的自动化...
7年经验之谈 —— 什么是模糊测试
HSS919的博客
08-21 168
背景:近年来,随着信息技术的发展,各种新型自动化测试技术如雨后春笋般出现。其中,模糊测试(fuzz testing)技术开始受到行业关注,它尤其适用于发现未知的、隐蔽性较强的底层缺陷。这里,我们将结合AFL开源工具,对模糊测试的基本概念和流程进行说明。
模糊测试原理(学习笔记)
10-08 233
模糊测试(Fuzz Testing)是一种广泛用于软件安全和质量测试的自动化测试方法。它的基本思想是向输入参数或数据中注入随机、不规则或异常数据,以检测目标程序或系统在处理不合法、不正常或边缘情况下的行为。模糊测试通常用于寻找软件漏洞、安全漏洞和崩溃点,以改进软件的稳定性和安全性。
模糊测试之SPIKE测试框架简介
guotianqing的博客
08-06 8036
模糊测试(Fuzzing),是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。其核心思想是自动或半自动的生成随机数据输入到一个程序中,并监控目标程序异常,如崩溃,断言(assertion)失败,以发现可能的程序错误,比如内存泄漏等。模糊测试是一项简单的技术,它用随机坏数据(也称做 fuzz)攻击一个程序,然后等着观察哪里遭到了破坏。但这一过程却能揭示出程序中的重要 bug。它是
数据库查询模糊匹配
热门推荐
bacole的博客
04-10 2万+
执行数据库查询时,有完整查询和模糊查询之分。一般模糊语句格式如下:SELECT 字段 FROM 表 WHERE 某字段 LIKE 条件; 其中,关于条件,SQL提供了四种匹配模式:%:表示零个或多个字符。可以匹配任意类型和任意长度的字符,有些情况下若是中文,请使用两个百分号(%%)表示。select * from flow_user where username like '%王%'; 将会把flo
网络安全-好用的模糊测试器汇总与思考
关注网络安全、云原生安全
02-12 5984
目录用例生成器WEB模糊测试器协议模糊测试器文件模糊测试器二进制模糊测试器 用例生成器 WEB模糊测试器 - wfuzz-4.2k stars,WFuzz 是一个用于 Python 的 Web 应用程序安全模糊器工具和库,可对路径、文件、URL参数、POST请求等进行模糊测试。 WebScarab-该工具是一个具有模糊测试能力的Web应用审计套件 协议模糊测试器 SPIKE-第一个公开发布的模糊测试框架-包含预生成的、针对几种常用协议的模糊测试是脚本,可以API方式调用 Peach-跨平台模糊测试框架,P
模糊测试--六问六答
weixin_45576679的博客
02-23 1064
Fuzz Testing,又称模糊测试,是一种通过向目标系统提供非预期的“坏数据”输入并监视异常结果来发现软件漏洞的方法。 Fuzz Testing,又称模糊测试,是一种通过向目标系统提供非预期的“坏数据”输入并监视异常结果来发现软件漏洞的方法。这句话虽然简单,实际上可以引申出很多问题,如: 模糊测试的目标系统有哪些? 如何生成非预期的“坏数据”? 如何有效地输入“坏数据”? 如何监视异常? 如何定位触发异常的输入? 如何判断触发的输入可被利用? 接下来,我将就此疑问做出解答,带大家浅析模糊
restler 模糊测试
08-22
Restler是一种模糊测试工具,旨在帮助发现软件应用程序或Web服务中的潜在漏洞和安全漏洞模糊测试是指通过向目标程序输入异常、非预期或随机的数据,来检测其对异常输入的处理能力和安全性。 Restler通过模拟真实的HTTP请求和随机生成有效和无效的输入数据,对目标应用程序进行大量的测试。它会自动探索目标应用程序中的API端点和参数,并使用各种模糊测试技术,如随机生成数据、边界测试、格式字符串攻击等,来尝试触发漏洞。 Restler的优势在于其自动化和高效性。它能够自动发现应用程序的API端点和参数,并自动生成和执行测试用例,无需手动编写或配置。它可以并行地发送大量请求和数据组合,快速地覆盖应用程序的不同代码路径和输入情况。 通过使用Restler进行模糊测试,可以帮助发现应用程序中可能存在的漏洞,如输入验证不足、XSS(跨站脚本攻击)、SQL注入、缓冲区溢出等。当Restler发现异常行为或异常响应时,它会产生报告,标识出潜在的漏洞点,以便开发人员进行修复和改进。 总而言之,Restler模糊测试是一种自动化的安全测试工具,通过模拟真实的请求和随机的输入数据,帮助发现应用程序中可能存在的漏洞,提高应用程序的安全性和质量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值