test fuzz-01-模糊测试(Fuzz Testing)入门 Atheris、Jazzer、jqf、kelinci、FLA、libfuzzer 对比

最新推荐文章于 2024-04-24 11:35:23 发布
最新推荐文章于 2024-04-24 11:35:23 发布
阅读量1k 收藏 18
点赞数 21
分类专栏: test 文章标签: 测试覆盖率 单元测试 测试工具 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ryo1060732496/article/details/135469363
版权
本文介绍了如何利用开源工具自动生成Java测试数据,并着重讨论了FuzzTesting(模糊测试)的概念、目标、流程以及Atheris、Jazzer、jqf、Kelinci、FLA和libfuzzer等具体工具的对比,强调了它们在检测安全漏洞和软件缺陷方面的应用。
摘要由CSDN通过智能技术生成

拓展阅读

开源 Auto generate mock data for java test.(便于 Java 测试自动生成对象信息)

开源 Junit performance rely on junit5 and jdk8+.(java 性能测试框架。性能测试。压测。测试报告生成。)

test fuzz-01-模糊测试(Fuzz Testing)

test fuzz-02-模糊测试 JQF + Zest Semantic Fuzzing for Java

test fuzz-03-模糊测试 Atheris A Coverage-Guided, Native Python Fuzzer

test fuzz-04-模糊测试 jazzer Coverage-guided, in-process fuzzing for the JVM

test fuzz-05-模糊测试 kelinci AFL-based fuzzing for Java

test fuzz-06-模糊测试 AFL american fuzzy lop - a security-oriented fuzzer

test fuzz-07-模糊测试 libfuzzer

模糊测试(Fuzz Testing)是什么?

模糊测试(Fuzz Testing)是一种自动化的测试方法,通过向程序、应用程序或系统输入注入大量随机或半随机生成的数据(模糊输入),以寻找潜在的安全漏洞、软件缺陷或异常行为。

模糊测试的目标是通过在输入中引入未知、异常或非预期的数据,评估目标系统的鲁棒性和稳定性。

模糊测试流程:

  1. 选择目标:

    • 确定要进行模糊测试的目标,可以是一个应用程序、库、协议等。选择目标通常基于其重要性、复杂性和潜在的攻击面。

  2. 生成模糊输入:

    • 创建模糊测试工具或使用现有工具生成模糊输入。模糊输入通常是通过对有效输入进行随机修改、添加或删除而生成的。

  3. 注入模糊输入:

    • 将生成的模糊输入注入到目标系统中。这可以通过直接发送网络请求、修改文件、通过标准输入等方式进行。

  4. 监测异常行为:

    • 监测目标系统的行为,包括崩溃、错误消息、异常响应等。模糊测试工具通常会监测程序的执行状态,以检测到任何不正常的行为。

  5. 收集反馈:

    • 收集模糊测试过程中观察到的异常行为。这可能包括崩溃日志、错误报告、程序输出等。

  6. 优化模糊输入生成:

    • 根据反馈信息,调整模糊输入生成策略,以生成更有针对性的模糊输入,提高发现漏洞的效率。

  7. 迭代:

    • 重复模糊测试过程,不断优化生成的模糊输入,直到达到预期的测试目标或发现了潜在的问题。

Atheris、Jazzer、jqf、kelinci、FLA、libfuzzer,给出对比表格

下面是对Atheris、Jazzer、jqf、Kelinci、FLA、libFuzzer的对比表格:

功能/特性AtherisJazzerjqfKelinciFLAlibFuzzer
语言PythonJavaJavaJavaCC++
支持的目标程序类型PythonJavaJavaJavaCC/C++
指导性模糊测试✔️✔️✔️✖️✔️✔️
静态分析✖️✖️✖️✖️✔️✖️
动态二进制插桩✖️✔️✖️✔️✔️✔️
支持的反馈机制覆盖率覆盖率覆盖率路径导向覆盖率覆盖率
支持的变异策略多种多种多种多种多种多种
最小化工具自带✔️✔️依赖Kelinci MinimizerFLA Minimizer✔️
支持并行化✖️✔️✖️✔️✔️✖️
支持网络服务✖️✔️✔️✔️✖️✖️
是否开源✔️✔️✔️✔️✔️✔️

在这里插入图片描述

老马啸西风
关注
  • 21
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fuzz.rar(模糊测试工具
03-03
Fuzz是世界上第一款Fuzzing工具,也是该技术称之为‘fuzzing’的原因,它是威斯康星大学研究所测试windows程序的工具。该工具利用windows的消息机制向窗口随机的发送数据,试图使得应用程序崩溃。
oss-fuzz:OSS-Fuzz-开源软件的连续模糊测试
02-05
OSS-Fuzz:开源软件的连续模糊测试 是一种用于发现软件编程错误的众所周知的技术。 其中许多可检测到的错误(例如)可能会带来严重的安全隐患。 通过部署 Google已经发现了的安全漏洞和稳定性错误,我们现在希望与...
What is Fuzz Testing?
井底之蛙
09-19 2317
What is Fuzz Testing?Fuzz testing or Fuzzing is a software testing technique, often used to discover security weaknesses in applications and protocols. The basic idea is to attach the inputs of a
报告分享 | 模糊测试入门学习笔记
最新发布
04-24 844
所在团队主要方向聚焦漏洞挖掘,我在延续区块链共识研究之外,调研了关于漏洞挖掘相关的技术,最终决定从模糊测试入手,作为我的新研究方向,在此记录一些学习笔记。
[Fuzz]Android模糊测试
自娱《测试开发》专栏
11-18 802
fuzz模糊测试理论应用于android端 1.单独调用Activity 2.发布针对性广播 3.调用查看Apps数据库 等... 方法: 1.反编译apk,可以使用apktool 2.查找AndroidManifest.xml文件内activity,service等,修改Export=“true”,意味着可以由第三方程序调用该服务 3.修改过配置文件后,重新打包成apk ...
介绍模糊测试Fuzz TestingFuzzing)
热门推荐
土豆洋芋山药蛋的博客
09-24 1万+
介绍模糊测试Fuzz TestingFuzzing) 一、什么是模糊测试模糊测试是一种自动或半自动的测试技术,常被用来发现软件/操作系统/网络的代码中的错误和安全性问题,其中用于输入随机的数据和不合法的数据被称为“FUZZ”。之后,系统将被监视各种异常,如系统崩溃或内置代码失败等。 模糊测试最初是由威斯康辛大学的巴顿·米勒于1989年开发的。模糊测试是一种软件测试技术,是安全测试的一种。 ...
Fuzz Test是什么
Criss@陈磊
11-25 2176
Fuzz TestFuzz Test是什么Generally speaking fuzz is a brute force method which used to break software,就是用大量的测试用例一个一个试,尽可能多的找出有可能出问题的地方。Fuzz Test Tool的大部分结构(1)Generate lots of malformed data as test cases,要
Fuzz:内存模糊测试
无名J0kзr的博客
08-16 445
fuzz
OSS-Fuzz-开源软件的连续模糊测试。-Python开发
05-25
OSS-Fuzz-开源软件的连续模糊测试状态:Beta。 我们正在准备将该项目公开发布。 常见问题| 理想的模糊集成| 新项目指南| 重现错误 项目| 项目发行时间T OSS-Fuzz-开源软件的连续模糊测试状态:Beta。 我们正在准备将...
cargo-fuzz:用于模糊测试的命令行助手
02-05
cargo-fuzz 是 Rust 生态系统中的一个非常有用的工具,它是一个命令行助手,专门用于进行模糊测试fuzzing)。模糊测试是一种自动化测试方法,通过大量随机输入来寻找软件中的漏洞和不稳定点。在 Rust 语言中,由于...
api-fuzz:python restful api模糊测试
02-05
IntelliFuzzTest cli测试工具安装git clone https://github.com/smasterfree/api-fuzz.gitpip install -r requirements.txt快速开始将curl请求体放进request.txt文件中,执行命令python IntelliFuzzTest_cli.py ...
webfuzz模糊测试工具
03-19
web应用程序的模糊测试工具,可用于自动发包,测试web应用程序的安全漏洞,可用于发现sql注入,xss漏洞等威胁。
fuzz-rest-api:将基于属性的测试快速检入到REST API的模糊器中
02-05
模糊测试模糊测试是一种自动软件测试技术,涉及提供无效,意外或随机数据作为计算机程序的输入。 然后监视程序是否发生异常,例如崩溃,内置代码断言失败或发现潜在的内存泄漏。 该存储库将基于属性的测试框架...
使用 afl-fuzz 进行模糊测试
子曰小玖的博客
07-30 905
话虽如此,重要的是要承认,如果没有大量的调试和代码分析工作,一些fuzzing崩溃可能难以快速评估可利用性。如果相关的执行路径涉及之前记录的故障中未出现的任何状态转换,则崩溃和挂起被认为是“唯一的”。在这种模式下,fuzzer将一个或多个崩溃测试用例作为输入,并使用其反馈驱动的模糊测试策略非常快速地枚举程序中可以到达的所有代码路径,同时保持程序处于崩溃状态。如果有大量数据可用于筛选,您可能需要使用afl-cmin实用程序来识别功能不同的文件的子集,这些文件在目标二进制文件中使用不同的代码路径。...
软件测试:LLVM中的Fuzz模糊测试框架——libFuzzer
lzx的博客
03-21 586
是LLVM生态系统中的一个模糊测试工具,用于自动化地发现软件程序中的漏洞和错误。它通过生成大量的随机输入数据并观察程序的行为来进行模糊测试libFuzzer是一个基于内存的模糊测试引擎,使用LLVM的插桩技术和代码优化功能来提高测试效率和覆盖率以下是 libFuzzer 的一些功能特点:libFuzzer提供了一种自动化的模糊测试方法,可以生成大量的随机输入数据,并在每个输入上运行目标函数进行测试。它通过观察程序的崩溃、断言失败、未定义行为等反馈来发现潜在的问题。libFuzzer通过使用和。
一文掌握 Golang 模糊测试Fuzz Testing
路多辛的所思所想
06-03 1362
Golang 的模糊测试允许开发者提供初始语料,初始语料可以通过 f.Add 方法添加,也可以将语料按照要求的格式写入 testdata/fuzz/FuzzXXX/ 中的语料文件中。a, b int}{{10, 2},{5, 3},{-6, 3},{-6, -3},// 根据提供的语料,反射获得参数类型并穷举可能的值Div(a, b)})
fuzz模糊测试(文件上传为例)
qq_58683895的博客
11-20 757
Fuzz模糊测试是一种软件测试方法,旨在发现应用程序或系统中的漏洞和错误。它通过向应用程序输入大量随机、无效或异常的数据来测试其稳定性和安全性。Fuzz测试通常用于测试网络协议、文件格式、API接口和其他输入接口,以发现潜在的安全漏洞和错误。Fuzz测试的基本原理是通过向目标应用程序输入大量的随机或异常数据,以触发潜在的漏洞和错误。这些数据可能包括无效的输入、边界条件、格式错误、特殊字符等。通过不断地输入这些数据,测试人员可以观察应用程序的行为,并检测是否出现了异常情况,如崩溃、内存泄漏、拒绝服务攻击等。
Day76:WEB攻防-Fuzz模糊测试篇&JS算法口令&隐藏参数&盲Payload&未知文件目录
qq_61553520的博客
03-21 930
小迪安全-Day76:WEB攻防-Fuzz模糊测试篇&JS算法口令&隐藏参数&盲Payload&未知文件目录
模糊测试fuzz testing)介绍(一)
weixin_34040079的博客
12-20 1260
模糊测试fuzz testing)是一类安全性测试的方法。说起安全性测试,大部分人头脑中浮现出的可能是一个标准的“黑客”场景:某个不修边幅、脸色苍白的年轻人,坐在黑暗的房间中,正在熟练地使用各种工具尝试进入某个系统。这种由安全人员“模拟黑客进入系统”的测试方法的确是安全性测试中的一种有效测试手段,名叫“渗透测试”。渗透测试方法完全依靠测试执行者的能力,能力强的“白客”能够发现有价值的安全性漏洞,...
OSS-Fuzz:容器和云计算在模糊测试中的应用 - Hanhan1
08-03
INSERT DESIGNATOR, IF NEEDEDFuzzing(模糊测试Fuzzing is an automated softwaretesting

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值