FB记录。
: )
FUZZ的定义
- 模糊测试(FUZZ TESTING,FUZZING)是一种软件测试技术。其核心思想是将自动或半自动生成的随机数据输入到一个程序中,并监视程序异常,如崩溃,断言(ASSERTION)失败,以发现可能的程序错误,比如内存泄露,模糊测试常常用于检测软件或计算机系统的安全漏洞。包括暴力破解也是属于模糊测试的。
- 模糊测试工具主要分为两类:变异测试(MUTATION-BASED)以及生成测试(GENERATION-BASED)。模糊测试可以被用作白盒、灰盒、或黑盒测试。文件格式与网络协议是最常见的测试目标,但任何程序输入都可以作为测试对象。常见的输入有环境变量,鼠标和键盘事件以及API调用序列。甚至一些通常不被考虑成输入的对象也可以被测试,比如数据库中的数据或共享内存。内存FUZZ。
优秀的FUZZ工具
- VUzzer:基于应用感知的自进化模糊工具。但是这个工具使用会比较麻烦。
- AFL:采用编译时检测和遗传算法的模糊工具。算是一个比较老的工具,以前能挖到很多,但是最近效果不好。
- WADI-Fuzzer:基于Web浏览器语法的模糊器,是NODEFUZZ的模块。挖浏览器漏洞。
- HONGGFUZZÿ