Fuzz Testって何?

Fuzz Test

Fuzz Testって何?

Generally speaking fuzz is a brute force method which used to break softwareは、大量のテスト例を1つ1つ試して、できるだけ多くの問題が発生する可能性がある場所を見つけることです.

Fuzz Test Toolの大部分の構造

(1)Generate lots of malformed data as test casesは,大量のテスト用例を生成する.このテストの力はmalformedのもので、1つのソフトウェアはまず入力点を見つけて、それからデータを投げ込んで、このデータは1つのファイルかもしれなくて、1つのパケットかもしれなくて、テスト表の中の1つの項目かもしれなくて、臨時のファイルの中の1つの東西かもしれなくて、要するに1種のデータで、malformedのこのような非正常なデータを定義します.
(2)Drop the test cases into product、それを投げ込んで、この製品がどのように反応するかを見ます.
(3)Monitor and log any crash/exception triggered by malicious input.
(4)Review the test log, investigated deeply.

Fuzz Test cause problems

buffer overflow

cross-site scripting

denial of service attacks

format bugs

SQL injection

and so on

Fuzz Param

https://github.com/crisschan/fuzzdb
境界値などを除いて、次のようになります.

データベース関連:

‘； select 1 --

キャッシュオーバーフロー:

4096 of A

タイプオーバーフロー:-1-1024 and so on

特殊文字

Some Tools

wfuzz afl Peach Fuzzer Sulley