Fuzz Testって何?


Fuzz Test


Fuzz Testって何?


Generally speaking fuzz is a brute force method which used to break softwareは、大量のテスト例を1つ1つ試して、できるだけ多くの問題が発生する可能性がある場所を見つけることです.

Fuzz Test Toolの大部分の構造


(1)Generate lots of malformed data as test casesは,大量のテスト用例を生成する.このテストの力はmalformedのもので、1つのソフトウェアはまず入力点を見つけて、それからデータを投げ込んで、このデータは1つのファイルかもしれなくて、1つのパケットかもしれなくて、テスト表の中の1つの項目かもしれなくて、臨時のファイルの中の1つの東西かもしれなくて、要するに1種のデータで、malformedのこのような非正常なデータを定義します.
(2)Drop the test cases into product、それを投げ込んで、この製品がどのように反応するかを見ます.
(3)Monitor and log any crash/exception triggered by malicious input.
(4)Review the test log, investigated deeply.

Fuzz Test cause problems

  • buffer overflow
  • cross-site scripting
  • denial of service attacks
  • format bugs
  • SQL injection
  • and so on

  • Fuzz Param


    https://github.com/crisschan/fuzzdb
    境界値などを除いて、次のようになります.
  • データベース関連:
    ‘; select 1 --
    
  • キャッシュオーバーフロー:
    4096 of A
    
  • タイプオーバーフロー:-1-1024 and so on
  • 特殊文字
  • Some Tools


    wfuzz afl Peach Fuzzer Sulley