7 挖掘CVE不是梦:FUZZING

模糊测试(FUZZING)是一种测试技术,通过输入随机数据引发程序异常来查找错误和安全漏洞。它涵盖白盒、灰盒、黑盒测试,常见于文件格式和网络协议测试。本文列举了多个FUZZ工具,如AFL、HONGGFUZZ和ossfuzz,并提及FUZZ测试的主要挑战在于如何在短时间内找到问题。
摘要由CSDN通过智能技术生成

FB记录。

: )


FUZZ的定义

  • 模糊测试(FUZZ TESTING,FUZZING)是一种软件测试技术。其核心思想是将自动或半自动生成的随机数据输入到一个程序中,并监视程序异常,如崩溃,断言(ASSERTION)失败,以发现可能的程序错误,比如内存泄露,模糊测试常常用于检测软件或计算机系统的安全漏洞。包括暴力破解也是属于模糊测试的。
  • 模糊测试工具主要分为两类:变异测试(MUTATION-BASED)以及生成测试(GENERATION-BASED)。模糊测试可以被用作白盒、灰盒、或黑盒测试。文件格式网络协议是最常见的测试目标,但任何程序输入都可以作为测试对象。常见的输入有环境变量,鼠标和键盘事件以及API调用序列。甚至一些通常不被考虑成输入的对象也可以被测试,比如数据库中的数据或共享内存。内存FUZZ。

优秀的FUZZ工具

  • VUzzer:基于应用感知的自进化模糊工具。但是这个工具使用会比较麻烦。
  • AFL:采用编译时检测和遗传算法的模糊工具。算是一个比较老的工具,以前能挖到很多,但是最近效果不好。
  • WADI-Fuzzer:基于Web浏览器语法的模糊器,是NODEFUZZ的模块。挖浏览器漏洞。
  • HONGGFUZZÿ
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值