Fuzzing - технология тестирования программ, когда вместо
ожидаемых входных данных программе передаются случайные данные. Если
программа зависает или завершает работу это считается нахождением
дефекта в программе, который может привести к обнаружению уязвимости.
Большим преимуществом фуззинга является его простота и возможность
автоматического анализа.
Примером фаззера может быть библиотека для Linux(and Solaris) – sharefuzz, предназначенная для тестирования типичных вариантов переполнения локальных буферов в setuid.
Из windows-фазеров можно отметить OWASP JBroFuzz – фаззер уязвимостей, работает с HTTP, SOAP, XML, LDAP протоколами. Позволяет выявить XSS, SQL-injection, переполнения буфера, FSE и многие другие уязвимости крайне нестандартными методами.
На проекте Google Code можно найти еще фаззеры. К примеру, Bunny the Fuzzer (http://code.google.com/p/bunny-the-fuzzer) - фаззер программ, написанных на C. Работает под Linux, FreeBSD, OpenBSD, и Cygwin.
FuzzDB - база данных с коллекцией образцов вредоносных и некорректных входных данных, нацеленных на повышение эффективности fuzzing-тестирования
FuzzDB может использоваться совместно с системами тестирования приложений на уязвимости, такими как OWASP Zap и Burp Suite. Опубликованные данные также можно использовать для симуляции активности, напоминающей проведение атаки, с целью тестирования работы внедрённых систем обнаружения и предотвращения атак.
Примером фаззера может быть библиотека для Linux(and Solaris) – sharefuzz, предназначенная для тестирования типичных вариантов переполнения локальных буферов в setuid.
Из windows-фазеров можно отметить OWASP JBroFuzz – фаззер уязвимостей, работает с HTTP, SOAP, XML, LDAP протоколами. Позволяет выявить XSS, SQL-injection, переполнения буфера, FSE и многие другие уязвимости крайне нестандартными методами.
На проекте Google Code можно найти еще фаззеры. К примеру, Bunny the Fuzzer (http://code.google.com/p/bunny-the-fuzzer) - фаззер программ, написанных на C. Работает под Linux, FreeBSD, OpenBSD, и Cygwin.
FuzzDB - база данных с коллекцией образцов вредоносных и некорректных входных данных, нацеленных на повышение эффективности fuzzing-тестирования
FuzzDB может использоваться совместно с системами тестирования приложений на уязвимости, такими как OWASP Zap и Burp Suite. Опубликованные данные также можно использовать для симуляции активности, напоминающей проведение атаки, с целью тестирования работы внедрённых систем обнаружения и предотвращения атак.
Комментариев нет:
Отправить комментарий