AFL++实战(三)-测试nodejs

最新推荐文章于 2024-05-12 03:21:39 发布
最新推荐文章于 2024-05-12 03:21:39 发布
阅读量868 收藏 2
点赞数 1
分类专栏: 模糊测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36711003/article/details/107041890
版权

nodejs

Node.js 是一个基于Chrome JavaScript 运行时建立的一个平台。
Node.js是一个事件驱动I/O服务端JavaScript环境,基于Google的V8引擎,V8引擎执行Javascript的速度非常快,性能非常好。
简单的说 Node.js 就是运行在服务端的 JavaScript。项目源码

nodejs的下载
apt-get update
sudo apt-get install python g++ make
git clone https://github.com/nodejs/node.git
cd node

有源码测试

配置

对于完整的项目,需要将编译器指定为 afl-clang,然后再进行编译。

export CC=afl-clang
export CXX=afl-clang++
./configure
make
fuzz

正式执行 fuzz 测试的命令如下:

mkdir in
# 在in文件下下创建js语料库
afl-fuzz -m none -i in -o out ./node -d @@
测试结果

在这里插入图片描述

黑盒测试

配置

首先在下载好nodejs后,对nodejs直接进行编译安装,生成二进制文件。

./configure
make
make test
sudo make install

启用QEMU模式,要先编译。

# 进入到AFLplusplus所在位置
cd qemu_mode
./build_qemu_support.sh
fuzz
afl-fuzz -Q -m none -i in -o out_res ./node -d @@
测试结果

在这里插入图片描述

注意事项

在用afl++对nodejs的项目进行测试时,如果是对./node二进制文件直接进行测试的话,会报错。在排了一大堆问题后,只要在./node 后面加一个-d命令即可。

轩辕小猪
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
AFL++ (PlusPlus) 介绍与实践
qq_40229814的博客
02-23 1万+
文章目录一、AFL++简介缝合块AFL基础款1 基于覆盖率指标的反馈2 变异3 fork 服务器缝合怪 一、AFL++简介 AFL++ 结合现今所有基于AFL框架改进方案,形成一个整体,即取其精华,去其糟粕,形成一款终极版AFL——AFL++。 下面以AFL基础款框架的几个部分,分别介绍AFL++结合了哪些改良部分。 缝合块 AFL基础款 AFL 是一款基于突变的、覆盖率引导的FUZZer。 它改变一组测试用例以达到程序中以前未探索的代码。覆盖率发生变化时,触发新覆盖率的测试用例将保存为测试用例队列的一部分
AFL++模糊测试
无痕的博客
09-08 1574
fuzz测试工具--AFL++,可以使用Qemu、Unicorn或Frida 种模式对IOT二进制文件进行Fuzzing测试
2024年网络安全最新AFL++简单学习_afl++ iot(1),腾讯网络安全开发面试经验
最新发布
2401_84300859的博客
05-12 668
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。此外,需要注意控制语料库的规模,太过庞大的语料库并不是好的选择,太过潘达的语料库会拖慢fuzzing的效率,尽可能用相对较小的语料覆盖更多目标代码的预期功能即可。收集语料的来源多种多样。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
AFL++简单学习
qq_42981705的博客
01-16 1707
AFL++:一个覆盖率引导的模糊测试工具
使用 AFL/AFL++ 的方法
shimly123456的博客
06-17 693
v=NiGC1jxFx78&t=271s 提到的样例程序为例,运行 fuzz 的流程如下。sudo docker run -ti -v <包含你的被测程序的文件夹路径>:/src aflplusplus/aflplusplus。等出现足够多的 crashes 后,ctrl+c 终止程序,随后可在 output 里找到会造成 crashes 的输出。以 AFL++ 为例,会造成的 crashes 的输出一般在 output/default/crashes/ 中。出现如下界面说明 AFL 运行成功。
AFL++代码详解】系统概览
z1nk的博客
12-25 341
模糊测试工具AFL++源码README
AFL++: Combining Incremental Steps of Fuzzing Research
weixin_42877778的博客
02-06 728
AFL++论文阅读笔记
AFL++: Combining Incremental Steps of Fuzzing Research 翻译
大草的博客
01-20 2292
Combining Incremental Steps of Fuzzing Research 论文翻译
Fuzz_AFL学习
Im_print的博客
07-07 613
Fuzz与AFL概念、原理及实现细节
黑盒模糊测试AFL++
席八
09-08 1303
运行 1 个带有 LAF ( + ) 的 afl-fuzz -Q 实例,或者您可以使用 FRIDA 模式,只需切换并删除 LAF 实例AFL_PRELOAD=libcmpcov.soAFL_COMPCOV_LEVEL=2-Q-O。然后运行尽可能多的实例,只要你有-Q模式的内核,或者 - 甚至更好 - 使用二进制重写器,如Dyninst,RetroWrite,ZAFL等。如果二进制重写器适用于您的目标,那么您可以正常使用afl-fuzz,并且它的速度将是QEMU模式的两倍(但比QEMU持久模式慢)。
【论文分享】LibAFL: A Framework to Build Modular and Reusable Fuzzers
^_^
08-30 1908
AFL是软件安全测试领域的一个重要里程碑,使得fuzzing成为了一个主要的研究领域,并带动了大量的研究去提高fuzzing流水线上的各个方面。许多研究是通过fork AFL的代码来进行实现的。虽然一开始看起来挺合适的,但是要把多种fork合并到一个fuzzer,需要大量的工程开销,阻碍了不同技术客观和公正的评估。严重碎片化的fuzzing的生态阻止了研究者组合多种技术来实现新的原型系统。为了解决这个问题,这篇文章提出了LibAFL,一个框架来构建模块化和可重用的fuzzer。...
AFL源码阅读笔记()—— fuzzer 核心代码 afl-fuzz.c
weixin_45651194的博客
01-12 1493
afl-fuzz.c 文件就撑起了 AFL 整体,包括了种子变异、种子队列、种子选择等模糊测试的核心概念。afl-fuzz.c 代码洋洋洒洒 8900 多行,对代码的解读不可能像前两个笔记一样,一行一行读。这部分代码阅读重在捋逻辑,弄清各部分间的关系。
2024年网络安全最全AFL++简单学习_afl++ iot,oppo网络安全面试题
2401_84265571的博客
05-06 731
例如你当你要fuzzing的目标对随着输入的规模内存变化非常敏感,那么制作一批很大的文件与较小的文件可能是一个策略,具体是否是否有效取决于你经验、以及对目标的理解。此外,需要注意控制语料库的规模,太过庞大的语料库并不是好的选择,太过潘达的语料库会拖慢fuzzing的效率,尽可能用相对较小的语料覆盖更多目标代码的预期功能即可。对于基于变异的模糊测试工具而言,需要为其准备一个或多个起始的输入案例,这些案例通常能够很好的测试目标程序的预期功能,这样我们就可以尽可能多的覆盖目标程序。收集语料的来源多种多样。
AFL++实战(一)-黑盒测试FFmpeg
someng的博客
06-29 5876
AFL++下载及安装 git clone https://github.com/AFLplusplus/AFLplusplus cd AFLplusplus apt install build-essential libtool-bin python3-dev automake flex bison libglib2.0-dev libpixman-1-dev clang python3-setuptools llvm make distrib make install 如果输入 afl-fuzz -Q
AFL++实战(四)-测试opencv
someng的博客
07-06 828
opencv OpenCV的全称是Open Source Computer Vision Library,是一个跨平台的计算机视觉库。OpenCV是由英特尔公司发起并参与开发,以BSD许可证授权发行,可以在商业和研究领域中免费使用。OpenCV可用于开发实时的图像处理、计算机视觉以及模式识别程序。该程序库也可以使用英特尔公司的IPP进行加速处理。项目源码 opencv的下载 sudo apt-get install build-essential sudo apt-get install cmake git
AFL学习小记
zino00的博客
01-28 1322
AFL初探
网络安全最全AFL++简单学习_afl++ iot
2401_84300859的博客
05-04 1020
AFL++作为一个覆盖率引导的模糊测试工具,拥有自己的变异算法,由于其使用广泛,因此相关教程及实验资料较多,学习使用的曲线平滑,并且其目前更新频率较高,对LLVM的支持以及各类Sanitizer的支持也使得其能更快的发现更多的漏洞。其对于闭源应用程序(使用-Q参数开启QEMU模式)和有源码的应用程序都可以进行FUZZING,但是对于复杂的程序会碰见路径爆炸或执行速度较慢的问题,后者可以通过AFL++的持久模式来进行加速,此时需要使用者对被测程序拥有一定的了解(可能涉及到逆向和源码修改的问题)。
AFL++实战(六)-测试light-LPR
someng的博客
07-09 1715
light-LPR HyperLRP是一个开源的、基于深度学习高性能中文车牌识别库,由北京智云视图科技有限公司开发,支持PHP、C/C++、Python语言,Windows/Mac/Linux/Android/IOS 平台。项目源码 light-LPR的下载 #安装opencv4.0及以上 #安装cmake3.0以上版本 git clone https://github.com/lqian/light-LPR 有源码测试 测试代码 #include <../include/PlateDetectio
AFL+2016CCS
07-25
AFL++AFL的一个分支版本,它是学术模糊研究的一部分基础模糊器,并且在业界也得到了广泛的使用。AFL++最初是作为AFL补丁和补丁的集合,但后来重新实施了非基于AFL的研究,例如REDQUEEN,以及对AFL的研究级扩展,以...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值