AFLnet 模糊测试论文阅读

已于 2022-06-22 16:04:28 修改
阅读量780 收藏 5
点赞数
分类专栏: 模糊测试论文阅读 文章标签: 网络安全 安全漏洞 网络协议
于 2022-06-17 15:10:59 首次发布
原文链接:https://ieeexplore.ieee.org/document/9159093
版权

AFLnet 第一个有状态的覆盖率引导模糊测试器

来自ICST2020

1. Abstract

服务器具有巨大的状态空间,只有通过明确定义的输入消息序列才能有效地遍历。 AFLNET,这是第一个用于协议实现的灰盒模糊器,AFLNET 采用突变方法并使用状态反馈来指导模糊测试过程,AFLNET 充当客户端并向服务器发送变异的消息序列,并保留那些有效增加代码覆盖率或状态覆盖率的变异体。 最终发现了两个新的 CVE。

2. Introduction

  • 基于覆盖率反馈的灰盒模糊测试(CGF)
    • 缺少服务器的状态转换信息,服务器的响应取决于当前消息和由早期消息控制的当前内部服务器状态
    • 也不知道发送的消息应有的结构或顺序
    • 开发人员需要根据特有的服务器状态编写单元测试工具
    • d安源测试可能无法彻底测试几个程序状态之间的转换
  • 有状态的黑盒模糊测试(SBF),根据给定的协议,形成有限状态机以获取状态转换关系
    • 初始消息序列是根据手工编写的模型生成的,存在不确定性
    • SBF不会像CGF一样对有价值的种子进一步探索。
  • 设计了AFLNET,第一个有状态的基于覆盖率反馈的灰盒模糊测试器(SCGF)结合了自动状态模型推理和覆盖率引导

3. Example:FTP

模糊器充当客户端,而服务器充当模糊目标

在这里插入图片描述

上图为客户端(红)和服务端(黑)的FTP通信

  • 对于来自客户端的每个请求消息,FTP 服务器都会回复一个包含状态代码的响应消息,响应中的状态代码确保客户端请求得到确认并通知客户端当前服务器状态。
  • 由客户端发送至服务器的每个请求都有可能推进服务器发生状态转变,如从初始状态到经过身份验证。

4.Tool Design and Implementation

1.请求序列解析器:

用于生成初始语料库,AFLNET 使用消息结构的协议特定信息以正确的顺序从捕获的网络流量中提取单个请求。它首先从 pcap 文件中过滤出响应以获取客户端请求。然后,它根据给定的协议解析过滤后的每条请求的开始和结束符。(如每条 FTP 消息都以USER、PASS开始,并以回车后跟换行符0x0D0A结束)以此得到每条请求

SCGF 将序列中的每条消息与相应的服务器状态转换相关联

2.状态机学习器:

接受服务器响应消息,并根据消息中的状态来学习并增进协议状态机(IPSM)。具体的,读取相应消息,提出状态码 ,确定状态转换,如果服务器响应中有新的状态码,则添加表示新状态的新图形节点。

3.目标状态选择器

从 IPSM 获取信息来选择 AFLNET 下一步应该关注的状态。采用了几种启发式方法选择下一个状态,这些启发式方法可以从学习的 IPSM 中可用的统计数据中计算出来。

4.序列选择器

一旦选择了目标状态 s,序列选择器就从语料库中选择可以到达状态 s 的消息序列。

种子语料库:包含种子输入信息的队列

状态语料库:包含状态信息的队列,以及一个存储种子和其能到达的状态的哈希表

序列选择器利用哈希图随机选择一个序列,以执行状态 s。

5.序列变异器

与现有的基于生成方法相比,AFLNET中基于突变的方法可以在真实网络消息的基础上生成新序列。

基于生成的方法需要详细的协议规范,包括具体的消息模板和协议状态机。

基于突变的方法可以将导致发现新状态、状态转换或程序分支的生成序列添加到语料库中以进行进一步的模糊测试。

6.整体流程

模糊LightFTP的整体流程

  • 一个包含网络流量的pcap文件
  • 请求序列解析器解析 pcap 文件以生成单个序列并将其保存到语料库 C 中,序列如下图

在这里插入图片描述

  • 状态机学习器根据响应码构造初始IPSM,如下图

在这里插入图片描述

  • 目标状态选择器选择一个目标状态,如331
  • 序列选择器将从序列语料库 C 中随机选择一个序列
  • 序列变异器识别出前缀(“USER foo”请求)、候选子序列(“PASS foo”请求)和剩余子序列为后缀,并对候选子序列进行变异
  • 序列变异器可能会变异出错误的密码请求,导致服务器来到新的状态(530,未登录)
  • 紧着这会继续发送后缀的请求,导致一直在530这个状态循环,如下图,因为在成功验证之前不允许所有这些命令
  • 最后,发送“QUIT”请求,服务器退出
  • 由于生成的测试序列触发新的状态转换,因此将其添加到语料库 C 和 IPSM 中。

如下图,添加到语料库 C 中的新序列

在这里插入图片描述

如下图,新的协议状态机

在这里插入图片描述

5. Case studies

AFLNET分别于与 BOOFUZZ(有状态黑盒模糊器) 和AFLNWE (无状态覆盖引导模糊器)进行对比,结果如下

在这里插入图片描述

  • AFLNET 在所有有效性度量上都优于BOOFUZZ,分支覆盖率、语句覆盖率和状态覆盖率的平均增幅分别为 60%、56% 和 67%,这种提升是因为 AFLNET 变异真实消息序列,以及根据增加覆盖率的消息序列来进化语料库。

  • AFLNET 也明显优于 AFLNWE,尤其是在 LightFTP 中。分支覆盖率、语句覆盖率和状态覆盖率分别提高了 121%、79% 和 85%。在Live555中的增幅不大是因为Live555 的协议状态机比 LightFTP 的协议状态机的深度更小,即有效序列中的消息数量更少。其次,状态较少,即大多数状态是错误状态。

  • AFLNET 总共发现了四个漏洞,其中两个(CVE2018-4013 和 CVE-2019-7733)是已知的,其余两个漏洞(CVE-2019-7314 和 CVE-2019-15232)是零日漏洞。 CVE-2019-7314 和 CVE-2019-15232 均获得 CVSS 评分 CRITICAL 9.8。

3nduRance
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
云端模糊测试挖洞实例
02-25
Fuzzing(模糊测试)是一种用于识别软件bug以及漏洞的方法。就目前的发展趋势来说Fuzzing正向着云端迈进,相较于传统Fuzzing方式,云端Fuzzing使得模糊测试速度加快也更加灵活。在本教程中,我们将与你一同走完云端模糊测试的全过程(即部署,Fuzzing以及使用softScheckCloudFuzzingFramework(sCFF)框架检索结果)。我们将以运行在Ubuntu16.04上的tcpdump4.9版本为例进行演示,读者可下载sCFF框架,和我们一同玩耍。第一章节将讲解在使用过程中会遇到的一些基础问题。当然,如果你对云端模糊测试有一定经验或者对这些基础问题足够了解的情
什么是模糊测试
03-23
什么是模糊测试?如何询问一位有成就的安全领域的研究者如何发现漏洞,很可能会有一大堆的答案,为什么?因为安全测试的方法太多,每种方法都有其优缺点。在全局来看有三种主要的方法来发现安全漏洞:白盒测试,黑盒测试和灰盒测试。   如何询问一位有成就的安全领域的研究者如何发现漏洞,很可能会有一大堆的答案,为什么?因为安全测试的方法太多,每种方法都有其优缺点。在全局来看有三种主要的方法来发现安全漏洞:白盒测试,黑盒测试和灰盒测试。   这些方法在普通测试中也非常的常见,那什么是模糊测试呢?模糊测试是一种通过提供非预期的输入并监视异常结果来发现bug的方法,一般的模糊测试都是一个自动或半自动的过程。现流行的
sharpfuzz:.NET的基于AFL的模糊测试
02-06
SharpFuzz:.NET的基于AFL的模糊测试 SharpFuzz是一款将引入.NET平台的工具。 如果您想了解有关模糊的更多信息,我编写SharpFuzz的动机,可以发现的错误的类型或与afl-fuzz集成的工作方式的技术细节,请阅读我的博客文章。 目录 CVE 博客文章 奖杯 如果您发现SharpFuzz有一些有趣的错误,并且愿意共享它们,我希望将它们添加到此列表中。 请给我发送电子邮件,提出自述文件的提取请求,或提出问题。 修复 修复 修复的 修复 修复 修复 修复 修复 修复 修复 固定 修复 修复 修复 固定 修复 修复 修复 固定 固定 修复 固定 固定 固定 固
模糊测试之实例讲解
03-23
模糊测试(Fuzzing),是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。测试的基本思想就是通过向程序中输入大量的随机数据,然后观察输入这些数据之 什么是模糊测试 模糊测试(Fuzzing),是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。测试的基本思想就是通过向程序中输入大量的随机数据,然后观察输入这些数据之后程序的情况,记录下使程序发生异常的数据,从而判断程序是在那些地方发生了异常。 模糊测试的实现是一个非常简单的过程: 1.准备一份插入程序中的正确的文件。
LightFTP:小型x86-32x64 FTP服务器
05-15
LightFTP 小型x86-32 / x64 FTP服务器 系统要求 兼容x86-32 / x64 POSIX的OS,例如Linux。 带有Cygwin的x86-32 / x64 Windows 7/8 / 8.1 / 10(请参阅本自述文件的“构建”部分)。 无需管理员/ root用户特权。 必须在防火墙中允许FTP服务器。 配置 存储在fftp.conf文件中,包含名为ftpconfig的配置节和描述用户及其权限的节数。 [ftpconfig] port 绑定服务器的端口号。 默认值:21 maxusers 与服务器的最大连接数可以同时建立。 默认值:1 interface 要绑定的接口IP。 使用0.0.0.0侦听任何可用的接口。 默认值:127.0.0.1 external_ip 如果您将服务器运行在NAT之后,则最好将您的真实IP放在此处。 这将帮
aflnet:AFLNet
05-02
AFLNet:用于网络协议的Greybox Fuzzer AFLNet是用于协议实现的灰盒模糊器。 与现有的协议模糊器不同,它采用一种变异方法,除了代码覆盖反馈之外,还使用状态反馈来指导模糊过程。 AFLNet带有服务器和实际客户端之间记录的消息交换的语料库。 不需要协议规范或消息语法。 它充当客户端,并重放发送到服务器的原始消息序列的变体,并保留那些对增加代码或状态空间的覆盖范围有效的变体。 为了识别消息序列执行的服务器状态,AFLNet使用服务器的响应代码。 根据这些反馈,AFLNet可以识别状态空间中的渐进区域,并系统地引导这些区域。 执照 AFLNet已获得。 AFLNet是由 < >编写和维护的的扩展。 有关American Fuzzy Lop的详细信息,请参考 。 AFL:2013年,2014年,2015年,保留的2016谷歌公司所有权利。 根据条款和条件发布。 引用A
论文阅读-AFLNET:一种用于网络协议的灰盒模糊
chlet的博客
07-28 1129
AFLNet是协议实现的灰盒模糊器。与现有的协议模糊器不同,它采用突变方法,除了代码覆盖率反馈之外,还使用状态反馈来指导模糊测试过程。AFLNet 使用服务器和实际客户端之间记录的消息交换语料库进行种子设定。不需要协议规范或消息语法。它充当客户端并重播发送到服务器的原始消息序列的变体,并保留那些有效增加代码或状态空间覆盖范围的变体。为了标识消息序列执行的服务器状态,AFLNet 使用服务器的响应代码。根据这些反馈,AFLNet识别状态空间中的渐进区域,并系统地转向这些区域。
AFLNET架构图解释及运行流程
最新发布
qq_45861878的博客
09-24 373
例如,为了识别模糊测试工具盲点(Fuzzer blind spot),即很少执行的状态,它选择一个状态s,选择s的概率与执行s的变异消息序列的比例成反比【?此外,AFLNET维护一个状态语料库(state corpus),它包括(i)状态条目列表(state entries),即包含相关状态信息的数据结构,以及(ii)哈希图,将状态标识符映射到执行对应于状态标识符的状态的队列条目列表。pcap文件是AFLNET的输入,包含了捕获的网络流量(例如FTP客户端和FTP服务器之间的请求和响应,如List 1)。
AFLNET源码分析
m0_50819561的博客
03-22 713
AFLnet源码分析
AFLNAT实战练习
kelxLZ的博客
06-11 5290
Author:ZERO-A-ONE Date:2021-06-11 ​ AFLNet 是一个用于协议实现的灰盒模糊器。与现有的协议模糊器不同,它采用突变方法,除了代码覆盖率反馈外,还使用状态反馈来指导模糊测试过程。AFLNet 以服务器和实际客户端之间记录的消息交换语料库为种子。不需要协议规范或消息语法。它充当客户端并重播发送到服务器的原始消息序列的变化,并保留那些有效增加代码或状态空间覆盖率的变化。为了识别由消息序列执行的服务器状态,AFLNet 使用服务器的响应代码。根据这个反馈,AFLNet 识别.
AFLnet变异策略分析
m0_50819561的博客
03-28 986
AFLnet的变异策略分析。
AFLNET-aflfuzz.c main函数分析
qq_42981705的博客
04-06 922
AFLNET-aflfuzz.c main函数分析
State Selection Algorithms and Their Impact on The Performance of Stateful Network Protocol Fuzzing
weixin_42877778的博客
05-12 326
是第一个研究状态选择算法对有状态的网络协议模糊测试的影响 * 将LEGION的算法扩展到了协议状态的选择上,并将其用于支持未来的研究。
AFLNET源码理解(一)
von_Neumann_的博客
11-09 1761
AFLNET是目前比较主流的协议模糊测试器,想花些时间深入理解一下代码实现。
论文复现-AFLNet
chlet的博客
07-30 1031
AFLNet是协议实现的灰盒模糊器。与现有的协议模糊器不同,它采用突变方法,除了代码覆盖率反馈之外,还使用状态反馈来指导模糊测试过程。AFLNet 使用服务器和实际客户端之间记录的消息交换语料库进行种子设定。不需要协议规范或消息语法。它充当客户端并重播发送到服务器的原始消息序列的变体,并保留那些有效增加代码或状态空间覆盖范围的变体。为了标识消息序列执行的服务器状态,AFLNet 使用服务器的响应代码。根据这些反馈,AFLNet识别状态空间中的渐进区域,并系统地转向这些区域。
AFLNET源码理解(二)
von_Neumann_的博客
11-09 1253
AFLNET的main函数简单分析
AFLNET源码理解(五)
von_Neumann_的博客
11-28 439
AFLNET的状态和消息序列映射作了简单梳理
AFLNet定制协议
zane_wing的博客
01-02 744
根据AFLNET分析如何扩展协议
boofuzz笔记
Starr
04-26 3298
文章目录1. 简介安装2. Quickstart3. Session, Target, Connections3.1 Session3.2 Target3.3 Connections4. Monitors5. Logging6. Protocol DefinitionBlocks and Primitives7. Static Protocol Definition7.1 Request Manipulation7.2 Block Manipulation7.3 Primitive Definition8.
restler 模糊测试
08-22
Restler是一种模糊测试工具,旨在帮助发现软件应用程序或Web服务中的潜在漏洞和安全漏洞模糊测试是指通过向目标程序输入异常、非预期或随机的数据,来检测其对异常输入的处理能力和安全性。 Restler通过模拟真实的HTTP请求和随机生成有效和无效的输入数据,对目标应用程序进行大量的测试。它会自动探索目标应用程序中的API端点和参数,并使用各种模糊测试技术,如随机生成数据、边界测试、格式字符串攻击等,来尝试触发漏洞。 Restler的优势在于其自动化和高效性。它能够自动发现应用程序的API端点和参数,并自动生成和执行测试用例,无需手动编写或配置。它可以并行地发送大量请求和数据组合,快速地覆盖应用程序的不同代码路径和输入情况。 通过使用Restler进行模糊测试,可以帮助发现应用程序中可能存在的漏洞,如输入验证不足、XSS(跨站脚本攻击)、SQL注入、缓冲区溢出等。当Restler发现异常行为或异常响应时,它会产生报告,标识出潜在的漏洞点,以便开发人员进行修复和改进。 总而言之,Restler模糊测试是一种自动化的安全测试工具,通过模拟真实的请求和随机的输入数据,帮助发现应用程序中可能存在的漏洞,提高应用程序的安全性和质量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值