约束引导的定向模糊测试:CDGF

最新推荐文章于 2023-03-03 19:40:21 发布
最新推荐文章于 2023-03-03 19:40:21 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: 模糊测试 文章标签: 模糊测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37763006/article/details/118931504
版权

CDGF

一、背景介绍

1.1 DGF

DGF作用
 集中测试某些特定位置的代码:target site
 应用:
  ①开发人员从第三方获取崩溃报告,重现崩溃
  ②针对某个补丁,生成对应修补位置处的PoC
局限性
 1、target sites之间没有关联,不考虑顺序依赖性
 2、未考虑target crash所需的数据条件,单纯以距离target sites远近来进行种子调度

1.2 CDGF

CDGF
 在DGF的基础上加了一些的constraint,并且按照满足constraint的权重去排列seed
 权重
  seed通过的constraint越多,距离constraint越近,权重越大
constraint组成
 多个target site和n个data condition
 当指定多个constraint时,seed要按照排列顺序去满足
自动生成constraint
 作者设计了根据额外信息源自动生成constraints的算法
 额外信息源
  ①内存错误检测器的侦测的内存错误
  ②补丁的更改日志
 注:该算法支持7种crash和4种changelog自动生成constraint
constraint生成方法
 UAF
  首先生成free处的constraint,再生成crash处的constraint(先驱动seed到free,再到crash)
 缓存区溢出
  constraint驱动seed到缓存区的边界,增加溢出的机会
 补丁更改日志
  constraint转换seed,来符合补丁更改日志中指示的有缺陷的条件
主要贡献
 1、提出了CDGF,在DFG基础上按顺序排列target site和constraint
 2、使用额外信息源,自动生成constraints
 3、基于CDGF理念设计了CAFL,用实验体现了该方法的优秀

二、DGF

2.1 DGF中距离

调和平均值
 使用调和平均值来计算某点到某点的距离
在这里插入图片描述
 比如论文中的这个例子
在这里插入图片描述
 论文中两个target分别为d和f,然后a到d与f的最短距离都是3,那么a的权重是1/(1/3+1/3)=3/2
 加入seed执行的路径是abef,那么距离就是计算调和平均数(3/2+1+1+0)/4=0.875
 效果就是路径越长,计算出来的距离越短,比如路径abcdabef的距离是0.85,比路径abef的距离0.875还要短
 缺点是如果路径中包含的的target site少,反而会增加路径长度,如路径abcabef的距离为0.971

2.2 DGF的应用

针对于任何可以精确定义target site的用例中
1、静态分析验证
静态分析误报率很高,可以用DGF将目标crash设置为target site来主动验证
2、崩溃再现
重现来自用户或开发者的崩溃报告,崩溃报告中往往有PoC、address、location,但是往往一个PoC无法验证该crash是否已经修复,可以用DGF来验证
3、生成PoC
攻击者往往攻击的是还没有修复漏洞的过时系统,可以使用补丁中描述的address、data、rule并通过DGF来生成PoC,比如崩溃再现中就可以生成PoC

2.3 DGF的局限性

由于以下两个原因,DGF往往会长时间的探索target site而没有进展
1、target site之间相互独立
2、没有data condition
例:target site相互独立 在这里插入图片描述
例:没有data condition
在这里插入图片描述

2.4 改进要求

1、排列好的target site
因为大部分的target site都有前提条件,要将seed驱动到前提条件位置
2、data condition
大部分crash都有数据条件,因此也需要将seed驱动到前提数据条件

三、CDGF

3.1 概括

每个constraint都有target site以及在target site需要满足的data condition
改进:赋予seed更短距离的条件
1、选择的seed满足的constraint更多
2、如果constraint未满足,选择更加满足该constraint的seed

3.2 constraint定义

组成:target site和data condition
满足约束:到达target site并满足data condition
生成constraint的方法:
1、捕获变量
到达targert site就捕获该处使用的变量,捕获什么变量取决于在该处的操作,比如“取消引用数组”捕获“引用地址”、“分配数组地址”捕获“数组大小和当前位置等”
2、data condition
data condition是一个布尔表达式,由捕获的变量组成,data condition可以用自己所属constraint中的变量或者之前constraint的变量
3、排序
多个约束需要按照指定的顺序来满足

3.3 distance定义

3.3.1 target site的distance

基本块距离
d(B1,B2)为B1和B2之间的距离
在这里插入图片描述
Bs是B1的后续基本块(如果B1有调用指令的话,调用指令的基本块可以是Bs)
target site距离
定义为target site与当前基本块的基本块距离(上面使用的基本块距离算法)
在这里插入图片描述

3.3.2 data condition的distance

1、单个data condition
在这里插入图片描述
注:如果表达式中有整数是未定义的,那么距离为无穷
在这里插入图片描述
这串公式中,Q是data condition,等号左边整体为第n个数据块在Q下的距离,min指的是取第n个基本块之前计算出的最小距离
特殊条件:当data condition为assert时,成功为0,失败为无穷
2、多个data condition
多个data condition时,distance表示了seed满足所有data condition的程度,满足的越多,distance越短
如果满足的data condition同样多,选序列中未被满足的data condition更靠前的
在这里插入图片描述
ρ是第一个未被满足的data condition下标
Nunsat=N(Q)-ρ,指的是未被满足的data condition数量
Cdata是单个data condition的最大距离,作者设置为int的最大值(2的32次方),这样可以表示4字节整数内的任何值

3.3.3 某基本块单个constraint的distance

在这里插入图片描述
即到target site的distance和data condition的distance之和

3.3.4 某基本块constraint sequence的总distance

在这里插入图片描述
没满足的constraint距离设为最大(2的35次方,可容纳8个data condition),其余的正常计算

3.3.5 seed的distance

在这里插入图片描述
即取seed的基本块路径上distance最小值

3.4 Constraint生成

基本方法:根据给定的信息源,找到合适的target site和data condition来填写预先设置的constraint模板
可生成来源:①来自内存错误检测器的崩溃记录(crash dump)②补丁更改日志(patch changelog)
模板:
1、nT
nT类型即多个target site,适合需要按照顺寻到达多个target site但不需要data condition的crash类型
例:Use-after-free、double-free、use-of-uninitialized-value
2、2T+D
两个target site加data condition
例:heap-buffer-overflow、stack-buffer-overflow
3、1T+D
一个target site加data condition
例:divide-by-zero、assertion-failure
PoC
对于漏洞这种,作者设计了算法来提取补丁中的信息填充到1T+D类模板中,分为以下四类分别操作
C1:异常检查类,target site为异常检查点,data condition为异常条件,关键字throw、error
C2:分支跳转类,target site为分支跳转点,data condition为“当前跳转条件!=原跳转条件”
C3:变量更换类,target site为被替换的变量,data condition为“当前变量!=打补丁前变量”
C4:不适用上述,不符合上述条件,则data condition为空

四、CAFL

作者根据CDGF的思想设计了CAFL,并由些许改进

4.1种子部分

为了防止局部最优,通俗讲就是这个seed并不适合变异下去,但是这个seed现在的distance还很小,优先级会很高,所以对种子权重进行了改动。
在这里插入图片描述
通过以上公式,seed如果模糊时间过长、长时间停留在某个distance没有改变,种子的权重就会降低

4.2实验

实验对象:AFLGo与CAFL
1、LAVA-1
选取了LAVA-1中18个崩溃来比较双方
在这里插入图片描述
可以看到这里CAFL在加入了data condition后时间大大缩短,证明了data condition的作用

2、Crash Reproduction
选了47个真实程序来测试,选取了其中的nT和1T+D类型的bug,并且使用了1T和nT以及nT+D来实验CAFL的效果
在这里插入图片描述
可以看出CAFL在整体性能上要好于AFLGo,但是在部分情况下加入了data condition反而效率下降,说明了data condition有时候反而会起到误导作用
3、PoC Generation
通过3.4里提到的从补丁中提取target site和data condition的规则来生成constraint,并由此生成PoC
在这里插入图片描述
效果要好于AFLGo

五、总结

总的来说就是一种改进distance计算方法,可进行对比的论文不多,效果还行

灵与尘
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
W90P710CD_CDGf.rar_系统设计方案_PDF_
08-12
The W90P710 is built around an outstanding CPU core
给你的模糊测试开开窍——定向灰盒模糊测试(Directed Greybox Fuzzing)综述
qq_40229814的博客
09-07 989
模糊测试技术:模糊测试是一种自动化的测试技术,它通过向目标程序或系统输入随机、无效或异常数据,以触发潜在的漏洞或异常行为。假定你的测试目标是桥梁的稳定性,测试对象是桥梁,通过向桥梁输入随机的车辆数目、车辆重量等,观察桥梁有没有断裂,从而测试桥梁是否具备一定程度的稳定性模糊测试方法可以大致分为黑盒、白盒、灰盒这三种,本文主要讲灰盒,既不像白盒一样了解完全的细节,也不像黑盒一样完全不了解,即了解源代码的部分细节如源代码架构、源代码部分区域的语义等信息。
如何成为IC验证工程师?
weixin_52955333的博客
10-11 2785
首先问个问题?什么是IC验证工程师?验证是什么意思? 有的同学清楚,有的可能不太清楚。 验证工程师就是根据芯片的需求规格(spec),采用相应的验证语言、验证工具、验证方法,设计并实现验证环境,在芯片生产之前对芯片的功能(RTL实现)进行仿真验证,确定设计的功能是否实现了spec中描述的功能,设计的功能是否正确,是否已经完全释放了风险。 “验证”简而言之就是根据芯片的需求规格对设计的芯片“找茬”。 对于芯片设计全流程不清楚的同学,可以先了解下芯片设计流程。 大家都知道芯片设计中流片是非常昂贵的,我们不能等
day---4 验证方法
weixin_44773716的博客
08-24 511
验证方法的分支和其工具种类很多,我们要根据设计的特点选取不同的验证方法,最终达到要求。验证工程师需要选择合适方法和工具,来“保质高效低耗”地完成验证任务。
定向模糊测试工具Beacon基本用法
^_^
03-03 1248
Beacon是一个定向模糊测试工具,给定行号,能够定向探索行号附近的代码区域。主要思想是采用静态分析的方法获取到与目标有关的变量的最弱前置条件(weakest precondition)的信息,并在相关位置插入断言,来提前终止模糊测试执行与目标无关的输入,提高模糊测试的吞吐量来提高效率。
论文笔记《Directed Greybox Fuzzing》
qq_40941912的博客
07-20 2091
Directed Greybox Fuzzing 阅读笔记
论文阅读_Constraint-guided Directed Greybox Fuzzing
学术渣渣的博客
05-09 567
Constraint-guided Directed Greybox Fuzzing 作者:Gwangmu Lee,Woochul Shim,Byoungyoung Lee 出处:USENIX 2021
【论文分享】One Fuzz Doesn’t Fit All: Optimizing Directed Fuzzing via Target-tailored Program State...
^_^
01-09 611
本文简单介绍下ACSAC 2022上一篇定向模糊测试的文章SieveFuzz。
定向模糊测试工具windranger的使用教程
^_^
12-18 1283
本文主要介绍发表于ICSE 2022的一个定向模糊测试工具windranger的使用方法。论文全称是:WindRanger: A Directed Greybox Fuzzer driven by Deviation Basic Blocks。
Hawkeye:定向灰盒模糊测试技术
wcventure的博客
04-15 2475
Hawkeye Towards a Desired Directed Grey-box Fuzzer Remarks Conference: CCS 2018 Full Paper: https://hongxuchen.github.io/pdf/hawkeye.pdf Slides: https://hongxuchen.github.io/pdf/hawkeye-slides.pdf ...
真棒定向模糊测试:精选的真棒定向模糊研究论文列表
02-06
真棒定向模糊测试:精选的真棒定向模糊研究论文列表
定向模糊测试论文列表
qq_36918532的博客
06-17 332
定向模糊测试研究论文
模糊测试基础指南(下)
systemino的博客
06-21 1359
模糊测试器的Worker worker是负责执行测试用例生成器提供的测试用例。当然,它还需要及时识别出一些意外的行为。 通常执行测试是非常简单的。worker用给定的输入检测任何不当行为的迹象。举个显而易见的例子,就是执行从C系列编程语言编译的二进制文件,例如其易于出现内存损坏问题的二进制文件。在这种情况下,崩溃是一种典型的错误,可以很容易地被发现。将编译器工具与AddressSanitize...
AFLGO:定向灰盒模糊测试
m0_37907383的博客
05-27 4205
之前介绍过AFL,今天讲一下AFLGO,这个是2017年的成果,在AFL的基础上优化了种子选取。把给定的源码位置设置为Targets,然后AFLGO能在AFL的基础上把离距离Target更近的种子给予更多的能量,使AFLGO能够更快的覆盖Target并测试我们感兴趣的地方。他在以下场景非常适用。 补丁测试 在程序出现漏洞后通常会打补丁,在补丁后的版本可以针对补丁部分重点测试,查看新版本是否有新的漏洞。 漏洞重现 在有些上报的漏洞中处于隐私问题不会提供出发的输入,仅仅会报告漏洞出现在代码的哪些位置,那么AFL
什么是模糊测试
juewuer的博客
11-14 2404
模糊测试是定位软件缺陷的很好技术,生成错误输入给被测软件,检查软件行为。完整的模糊测试分为三部分 生成畸形输入或者测试用例 把测试用例作用到被测软件 检测结果 不同的模糊测试技术有不同的效果。最重要的部分是,能够生成近乎正确,但是带些许异常。不同的检测技术提供错误检测能力。 正在调研 模糊测试工具,有在做的同行,欢迎交流哈。 ...
NeuFuzz:Fuzzy testing based on deep neural network(使用深度神经网络进行有效的模糊测试)
qq_43310021的博客
11-30 2668
摘要:覆盖率指导的模糊测试是发现漏洞的最流行,最有效的技术之一,因为它具有高速和可扩展性。但是,现有技术通常集中于代码覆盖范围,而不是易受攻击的代码。这些技术旨在覆盖尽可能多的路径,而不是探索更容易受到攻击的路径。在选择要测试测试用例时,现有的模糊测试通常会平等对待所有测试用例输入,而忽略了不同测试用例输入所执行的代码路径并非同等易受攻击(漏洞)的事实。这导致浪费时间测试无关紧要的路径而不是易受攻击的路径,从而降低了漏洞检测的效率。在本文中,旨在模糊测试中使用深度神经网对测试用例进行选择,以减轻上述限制。
窗体测试只能用于本地测试_用于UAF漏洞的二进制级定向模糊测试
weixin_39819974的博客
12-08 177
摘要定向模糊测试着重于通过利用如(部分)bug堆栈追踪、修补程序或危险操作等附加信息,来自动测试代码的特定部分。关键性的应用包括bug复现、补丁测试和静态分析报告验证。尽管定向模糊测试近来受到了广泛关注,但是诸如UAF这类难以检测的漏洞问题仍未得到很好的解决,尤其是在二进制级别。由此,我们提出了“UAFuzz”,这是第一个专用于UAF bugs的(二进制级)定向灰盒模糊测试器(Greyb...
符号测执行软件测试,基于符号执行与模糊测试的混合测试方法
weixin_42514222的博客
07-22 1685
1 引言随着信息技术的发展, 软件已经渗透到现代社会的方方面面, 而由于开发不当引入的软件漏洞也日益增多.据统计, 最近5年内软件漏洞数增加了38%, 而仅在2016年~2017年间就增加了14%[.软件测试是检测软件漏洞的一种主要方法, 当前工业界的主流方法还是通过手工设计测试用例来提高软件产品的质量, 然而, 手工生成测试用例通常效率较低、成本高昂并且容易出错[.每年成千上亿的资金被投入到软件...
《Adobe After Effects CC完全剖析》——精确的运动模糊
weixin_33834137的博客
05-02 754
本节书摘来自异步社区《Adobe After Effects CC完全剖析》一书中的第2章,精确的运动模糊,作者 【美】Mark Christiansen(马克·克里斯琴森),译者 姜岩,更多章节内容可以访问云栖社区“异步社区”公众号查看。 精确的运动模糊 关键帧运动并不是制作逼真动画的唯一重要组成部分。运动模糊对于具有一定运动数量的真实镜头是必不可少的...
基于matlab实现实现了基于项目的协同过滤代码,MATLAB实现.rar
最新发布
05-04
基于matlab实现实现了基于项目的协同过滤代码,MATLAB实现.rar

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值