「第五篇」FUZZ模糊测试

 批注[……]  表示他人、自己、网络批注参考资料来源于* 书中批注* CSDN* GitHub* Google* 维基百科* YouTube* MDN Web Docs由于编写过程中无法记录所有的URL所以如需原文，请自行查询{……}    重点内容*……*    表示先前提到的内容，不赘述外增其余Web攻击详解「第五篇」FUZZ模糊测试「5.1简介」模糊测试是一种自动或半自动的测试技术，常被用来发现软件/操作系统/网络的代码中的错误和安全性问题，其中用于输入随机的数据和不合法的数据被称为FUZZ之后，系统将被监视各种异常，如系统崩溃或内置代码失败等 模糊测试最初是由威斯康辛大学的巴顿·米勒于1989年开发的模糊测试是一种软件测试技术，是安全测试的一种「5.2原因」* 通常，模糊测试会发现最严重的的安全错误或缺陷* 当与黑箱测试、Beta测试和其他调试方法一起使用时，Fuzz测试会产生更有效的结果* 模糊测试用于检测软件的脆弱性，这是一种非常经济有效的测试技术* 模糊测试是黑盒测试技术之一，模糊是黑客发现系统漏洞最常用的方法之一「5.3步骤」* 识别目标系统* 确定输入* 生成模糊数据* 使用模糊数据执行测试* 监控系统的行为* 记录缺陷「5.4举例」* Mutation-Based Fuzzers alter existing data samples to create new test data,This is the very simple and straightforward approach,this starts with valid samples of protocol and keeps mangling every byte or file* Generation-Based Fuzzers define new data based on the input of the model,It starts generating input from the scratch based on the specification* PROTOCOL-BASED-fuzzer最成功的fuzzer是对正在测试的协议格式有详细的了解理解取决于规范它包括在工具中编写一个规范数组，然后使用基于模型的测试生成技术遍历规范并在数据内容、序列等中添加不规则性这也称为语法测试、语法测试、健壮性测试等Fuzzer可以从现有的测试用例生成测试用例，也可以使用有效或无效的输入主要包含3中不同类型的fuzzer，基于交叉、生成和协议的由于部分翻译起来比较生硬，还是英文对比起来比较直观，所以就不翻译了protocol-based fuzzing的两个限制* 在规范成熟之前不能进行测试* 许多有用的协议都是已发布协议的扩展，如果fuzz测试基于已发布的规范，则新协议的测试覆盖率将受到限制模糊技术最简单的形式是将随机输入作为协议包或事件发送给软件这种传递随机输入的技术对于发现许多应用程序和服务中的错误非常有用其他技术也是可用的，并且很容易实现要实现这些技术，我们只需要更改现有的输入我们可以通过交换输入的位来改变输入「5.5通过模糊测试检测到的bug类型」* Assertion failures and memory leaks this methodology is widely used for large applications where bugs are affecting the safety of memory,which is a severe vulnerability* Invalid input In fuzz testing,fuzzers are used to generate an invalid input which is used for testing error-handling routines,and this is important for the software which does not control its input,Simple fuzzing can be known as a way to automate negative testing* Correctness bugs Fuzzing can also be used to detect some types of correctness bugs,Such as a corrupted database,poor search results,etc总的来说包括了以上3种类型的bug* 内存泄漏* 非法输入* 部分正确的bug「5.6Advantages of Fuzz Testing」* 提升了软件安全性的测试* 模糊测试发现的通常是严重的错误，而且是容易被黑客攻击的错误* 模糊测试可以发现那些由于时间和资源限制而无法被测试人员发现的错误「5.7Disadvantages of Fuzz Testing」* 仅靠模糊测试无法全面了解整个安全威胁或bug* 在处理不会导致程序崩溃的安全威胁时，例如某些病毒、蠕虫、木马等，模糊测试的效率较低* 模糊测试只能检测简单的错误或威胁* 为了有效地执行，这将需要大量的时间* 设置带有随机输入的边值条件是非常有问题的，但是现在使用基于用户输入的确定性算法，大多数测试人员解决了这个问题「5.8总结」在软件工程中，Fuzz测试显示应用程序中存在bug模糊不能保证在应用程序中完全检测出bug但是通过使用Fuzz技术，它确保了应用程序的健壮性和安全性，因为这种技术有助于暴露大多数常见的漏洞

「第五篇」FUZZ模糊测试相关推荐

「第五篇」全国电子设计竞赛-电源题设计方案总结
点击上方"大鱼机器人",选择"置顶/星标公众号" 福利干货,第一时间送达! 0 前言许多朋友给我留言说,有没有电源题目的一些文章可以参考. 为了给大家找更多 ...
「第六篇」对于电赛，我们应该看重什么？
这几天更新了一些关于电赛的帖子,有设计方案,也有一些经验贴.大家可以在下面的链接找到. 「第一篇」大学生电子设计竞赛,等你来提问. 「第二篇」全国一等奖,经验帖. 「第三篇」全国电子设计竞赛,这些你必 ...
mongodb模糊查询_我叫Mongo，收了「查询基础篇」，值得你拥有
这是mongo第二篇「查询基础篇」,后续会连续更新6篇 mongodb的文章总结上会有一系列的文章,顺序是先学会怎么用,在学会怎么用好,戒急戒躁,循序渐进,跟着我一起来探索交流. 通过上一篇基础篇的介 ...
python docker自动化_「docker实战篇」python的docker爬虫技术-移动自动化控制工具appium工具（17）...
原创文章,欢迎转载.转载请注明:转载自 IT人故事会,谢谢! 原文链接地址: 「docker实战篇」python的docker爬虫技术-移动自动化控制工具appium工具(17) Appium是一个开 ...
「docker实战篇」python的docker爬虫技术-在linux下mitmproxy介绍和安装（四）
原创文章,欢迎转载.转载请注明:转载自IT人故事会,谢谢! 原文链接地址:「docker实战篇」python的docker爬虫技术-在linux下mitmproxy介绍和安装(四) 上次说了fiddl ...
「docker实战篇」python的docker-抖音appium模拟滑动操作（22）
原创文章,欢迎转载.转载请注明:转载自IT人故事会,谢谢! 原文链接地址:「docker实战篇」python的docker-抖音appium模拟滑动操作(22) 上次代码写到了可以通过接口获取粉丝的数 ...
docker android模拟器,「docker实战篇」python的docker-创建appium容器以及设置appium容器连接安卓模拟器（31）...
上一节已经下载好了appium的镜像,接下来说下如何创建appium如何创建容器和模拟器如何连接appium容器.源码:https://github.com/limingios/dockerpytho ...
⚡关于Eastmount博客「网络安全自学篇」系列重要通知！！！⚡
为响应2021年9月1日施行的<中华人民共和国数据安全法>,以及<中华人民共和国网络安全法>.即日起Eastmount的博客「网络安全自学篇」系列将不再发布任何有关" ...
「第四篇」电赛控制题可以准备一些什么？
点击上方"大鱼机器人",选择"置顶/星标公众号" 福利干货,第一时间送达! 0 前言在我看来,其实控制题是较好做(混)的一种题型,你懂我意思吧.控制题简单概 ...

「第五篇」FUZZ模糊测试

「第五篇」FUZZ模糊测试相关推荐

最新文章

热门文章