EasyFuzzer 发表于 2015-1-10 11:15:49

高端软件测试新方向-模糊测试

高端软件测试新方向-模糊测试

什么是模糊测试:模糊测试(Fuzzing),是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。
在模糊测试中,用随机坏数据(也称做 fuzz)攻击一个程序,然后等着观察哪里遭到了破坏。模糊测试的技巧在于,它是不符合逻辑的:自动模糊测试不去猜测哪个数据会导致破坏(就像人工测试员那样),而是将尽可能多的杂乱数据投入程序中。由这个测试验证过的失败模式通常对程序员来说是个彻底的震撼,因为任何按逻辑思考的人都不会想到这种失败。
模糊测试是一种高大上的测试, 各种大的安全公司都会对自己的产品做模糊测试,这些公司包括但不局限于微软,谷歌,IBM,百度那样的大公司。利用模糊测试可以发现常规测试无法发现的软件漏洞。除此之外,模糊测试在信息安全领域也是一个很重要的研究方向。各种信息安全者,白帽子,黑客都在利用模糊测试发现大量的软件安全漏洞。可见模糊测试的威力。
既然模糊测试如此重要,如此高大上,为什么国内搞模糊测试非常少呢?原因之一是他的起点较高。需要研究文件格式, 需要监控异常行为。因此导致模糊测试这个技术现在只在信息安全领域发展,而在软件测试领域还属于非常初级的阶段,没有得到广泛认可。
好消息是,EasyFuzzer来了。EasyFuzzer是什么?他是一款精简高效的模糊测试工具。
EasyFuzzer下载地址:官方网站
官方网站:官网提供大量的学习资料
特点是:容易,精简,高效,智能,免费,绿色。
容易:非常容易上手,不需要什么配置。有了他小学生也可以挖漏洞了,再也不愁没有0day了。让您轻而易举挖掘别人无法发现的软件漏洞。
精简:为了容量和速度,软件采用100%汇编语言编写。排除了以往fuzzer的无用功能。
高效:由于采用汇编语言编写,并且支持多线程fuzz,因此速度极快。
智能:具有各种忽略异常等功能,内存启发式监控功能。
强大:支持智能fuzz,支持用户自定义文件格式。可以挖掘复杂文件格式的漏洞。
免费:到现在为止,该软件是免费的。
绿色:绿色软件,对系统无伤害。

EasyFuzzer具有三大模糊测试引擎。 其中通用引擎2个,智能引擎1个。
具有强大的监控引擎。
通用引擎只需要根据您的样本文件,来生成大量的畸形文件,然后通过执行这些畸形文件查看软件是否有安全漏洞。(样本文件就是程序要处理的文件,对于一个MP3播放器, MP3就是一个样本文件)
智能引擎就比较高大上了,他不需要样本文件,而是需要我们用户输入表达文件逻辑的代码。EasyFuzzer通过这些代码生成大量的畸形文件,智能引擎主要用于逻辑较为复杂的文件结构。挖掘那些更深层的软件漏洞。
监控引擎主要用于监控软件运行时候的异常。支持分布式计算,支持多线程,支持内存启发式监控,支持异常自定义监控,支持寄存器监控。



EasyFuzzer
如果你是软件测试人员;
如果公司的产品有处理文件类的需求(比如视频播放器,音频播放器,浏览器,自定义文件格式工具,甚至是读取文件信息的任何逻辑都可以),那EasyFuzzer是你不二的选择。简单的即可学会使用,让您发现同事无法发现的软件bug,领导对你刮目相看。
如果你是学生
通过EasyFuzzer来掌握模糊测试的精髓,作为面试的敲门砖,让您拿到高薪。
如果你的软件安全研究者
你可以通过EasyFuzzer挖掘大量的软件漏洞,让旁人对您刮目相看。
在过去的日子里面,EasyFuzzer已经发现了大量的软件安全漏洞,其中包括微软的那种大公司的软件漏洞。
EasyFuzzer 让Fuzzer更Easy

msnshow 发表于 2015-1-10 19:03:39

广告来着啊,不知道能用于什么地方

EasyFuzzer 发表于 2015-1-12 08:29:26

说的很清楚了,用于查找文件格式处理的bug。

Dremcher 发表于 2015-1-12 09:20:30

数据是不是可以算是一种简单的文件格式?web测试能使用该软件吗?

EasyFuzzer 发表于 2015-1-12 12:00:51

暂时不支持web方向的测试,下一个版本或许会支持某协议的测试。

sandy-guo 发表于 2015-1-13 10:38:09

额...了解一下吧

EasyFuzzer 发表于 2015-1-14 13:35:34

:)

gyouka 发表于 2015-2-5 13:47:38

不明觉厉
页: [1]
查看完整版本: 高端软件测试新方向-模糊测试