Kini Fuzzing?
Intoro: Kini Fuzzing?
Ni 2014, Chinese olosa gepa sinu Community Health Systems, ẹwọn ile-iwosan AMẸRIKA fun-èrè, o si ji data alaisan 4.5 milionu. Awọn olosa lo nilokulo kokoro kan ti a pe ni Heartbleed ti a ṣe awari ni ile-ikawe OpenSSL cryptography ni awọn oṣu diẹ ṣaaju gige.
Heartbleed jẹ apẹẹrẹ ti kilasi ti awọn olufa ikọlu ti o gba awọn ikọlu laaye lati wọle si ibi-afẹde kan nipa fifiranṣẹ ni awọn ibeere aiṣedeede to wulo lati ṣe awọn sọwedowo alakoko. Lakoko ti awọn alamọdaju ti o ṣiṣẹ lori awọn ẹya oriṣiriṣi ti ohun elo kan ṣe ipa wọn lati rii daju aabo rẹ, ko ṣee ṣe lati ronu gbogbo awọn ọran igun ti o le fọ ohun elo kan tabi jẹ ki o jẹ ipalara lakoko idagbasoke.
Eyi ni ibi ti 'fuzzing' ti wa.
Kí ni ìkọlù Fuzzing?
Fuzzing, idanwo fuzz, tabi ikọlu iruju, jẹ ilana idanwo sọfitiwia adaṣe adaṣe ti a lo lati ifunni laileto, airotẹlẹ, tabi data aiṣedeede (ti a pe ni fuzz) sinu eto kan. Eto naa jẹ abojuto fun dani tabi awọn ihuwasi airotẹlẹ gẹgẹbi ṣiṣan ṣiṣan, awọn ipadanu, jijo iranti, okùn okun, ati awọn irufin iwọle kika/kikọ. Ohun elo iruju tabi fuzzer lẹhinna ni a lo lati ṣii ohun ti o fa ihuwasi dani.
Fuzzing da lori arosinu pe gbogbo awọn ọna ṣiṣe ni awọn idun ti nduro lati wa awari, ati pe o le fun ni akoko ati awọn orisun to lati ṣe bẹ. Pupọ awọn ọna ṣiṣe ni awọn olutọpa ti o dara pupọ tabi idilọwọ afọwọsi titẹ sii cybercriminals lati lo nilokulo eyikeyi awọn idun arosọ ninu eto kan. Sibẹsibẹ, bi a ti sọ loke, ibora gbogbo awọn ọran igun lakoko idagbasoke jẹ nira.
Awọn fuzzers ni a lo lori awọn eto ti o gba ni igbewọle ti a ṣeto tabi ni iru ala igbẹkẹle kan. Fun apẹẹrẹ, eto ti o gba awọn faili PDF yoo ni diẹ ninu afọwọsi lati rii daju pe faili naa ni itẹsiwaju .pdf ati parser lati ṣe ilana faili PDF.
Fuzzer ti o munadoko le ṣe agbekalẹ awọn igbewọle to wulo lati kọja awọn aala wọnyi sibẹsibẹ ko wulo to lati fa ihuwasi airotẹlẹ siwaju si isalẹ eto naa. Eyi ṣe pataki nitori pe o kan ni anfani lati kọja awọn afọwọsi ko tumọ si pupọ ti ko ba si ipalara si siwaju sii.
Awọn fuzzers ṣe awari awọn ipa ikọlu ti o jọra pupọ si ati pẹlu awọn ayanfẹ ti abẹrẹ SQL, iwe afọwọkọ aaye-agbelebu, ṣiṣan buffer, ati awọn ikọlu iṣẹ-kikọ. Gbogbo awọn ikọlu wọnyi jẹ abajade ti jijẹ airotẹlẹ, aiṣedeede, tabi data lairotẹlẹ sinu eto kan.
Awọn oriṣi ti Fuzzers
Fuzzers le jẹ ipin ti o da lori diẹ ninu awọn abuda:
- Awọn ibi-afẹde ikọlu
- Fuzz ẹda ọna
- Imọye ti igbewọle igbewọle
- Imọ ti eto eto
1. Attack fojusi
Iyasọtọ yii da lori iru pẹpẹ ti a nlo fuzzer lati ṣe idanwo. Fuzzers jẹ lilo nigbagbogbo pẹlu awọn ilana nẹtiwọọki ati awọn ohun elo sọfitiwia. Syeed kọọkan ni iru titẹ sii kan pato ti o gba, ati nitorinaa nilo awọn oriṣi awọn fuzzers oriṣiriṣi.
Fún àpẹrẹ, nígbà tí a bá ń bá àwọn ìṣàfilọ́lẹ̀ lò, gbogbo àwọn ìgbìyànjú ríru máa ń ṣẹlẹ̀ ní oríṣiríṣi àwọn ọ̀nà àbáwọlé ìṣàfilọ́lẹ̀, gẹ́gẹ́ bí ìṣàfilọ́lẹ̀ aṣàmúlò, ebute laini àṣẹ, fọ́ọ̀mù/àwọn àbáwọlé, àti àwọn ìrùsókè fáìlì. Nitorinaa gbogbo awọn igbewọle ti ipilẹṣẹ nipasẹ fuzzer ni lati baamu awọn ikanni wọnyi.
Fuzzers awọn olugbagbọ pẹlu awọn ilana ibaraẹnisọrọ ni lati koju pẹlu awọn apo-iwe. Fuzzers ti o fojusi iru ẹrọ yii le ṣe agbekalẹ awọn idii awọn apo-iwe, tabi paapaa ṣe bi awọn aṣoju lati ṣe atunṣe awọn apo-iwe ti o ni idilọwọ ati tun wọn ṣe.
2. Fuzz Creation Ọna
Fuzzers le tun ti wa ni classified da lori bi wọn ti ṣẹda data lati fuzz pẹlu. Itan-akọọlẹ, awọn fuzzers ṣẹda fuzz nipa ṣiṣẹda data laileto lati ibere. Eyi ni bii Ọjọgbọn Barton Miller, olupilẹṣẹ ilana yii, ṣe ni ibẹrẹ. Iru fuzzer yii ni a npe ni a iran-orisun fuzzer.
Bibẹẹkọ, lakoko ti eniyan le ṣe ipilẹṣẹ data ti imọ-jinlẹ ti yoo fori aala igbẹkẹle kan, yoo gba akoko pupọ ati awọn orisun lati ṣe bẹ. Nitorina ọna yii ni a maa n lo fun awọn ọna ṣiṣe pẹlu awọn ẹya titẹ sii ti o rọrun.
Ojutu si iṣoro yii ni lati ṣe iyipada data ti a mọ pe o wulo lati ṣe ipilẹṣẹ data ti o wulo to lati kọja aala igbẹkẹle kan, sibẹsibẹ ko wulo to lati fa awọn iṣoro. Apeere to dara fun eyi ni a DNS fuzzer eyi ti o gba orukọ ìkápá kan ati lẹhinna ṣe agbejade atokọ nla ti awọn orukọ ìkápá lati ṣawari awọn ibugbe irira ti o le ni ifọkansi oniwun ti agbegbe pàtó kan.
Ọna yii jẹ ijafafa ju ti iṣaaju lọ ati pe o dinku awọn ipadasiṣẹ ti o ṣeeṣe. Fuzzers ti o lo ọna yii ni a npe ni iyipada-orisun fuzzers.
Ọna kẹta diẹ to ṣẹṣẹ wa ti o ṣe lilo awọn algoridimu jiini lati ṣajọpọ lori data fuzz ti o dara julọ ti o nilo lati gbongbo awọn ailagbara. O ṣiṣẹ nipa isọdọtun data fuzz rẹ nigbagbogbo, ni akiyesi iṣẹ ṣiṣe ti data idanwo kọọkan nigbati ifunni sinu eto kan.
Awọn eto iṣẹ ṣiṣe ti o buru julọ ti data ni a yọkuro lati adagun data, lakoko ti o dara julọ jẹ iyipada ati / tabi ni idapo. Awọn titun iran ti data ti wa ni ki o si lo lati fuzz igbeyewo lẹẹkansi. Awọn wọnyi ni fuzzers ti wa ni tọka si bi ti itiranya iyipada-orisun fuzzers.
3. Imo ti Input Be
Ipinsi yii da lori boya fuzzer kan mọ ti o si nlo ni itara ti eto igbewọle ti eto kan ni ti ipilẹṣẹ data fuzz. A yadi fuzzer (a fuzzer ti o jẹ ko nimọ ti a eto igbewọle be) gbogbo fuzz ni a okeene ID fashion. Eyi le pẹlu mejeeji iran ati awọn fuzzers ti o da lori iyipada.
Ti a ba pese fuzzer pẹlu awoṣe igbewọle ti eto kan, fuzzer le lẹhinna gbiyanju lati ṣe ipilẹṣẹ tabi ṣe iyipada data bii o baamu awoṣe igbewọle ti a pese. Ọna yii siwaju dinku iye awọn orisun ti o lo ti ipilẹṣẹ data aitọ. Iru fuzzer ni a npe ni a ologbon fuzzer.
4. Imọ ti Eto Eto
Awọn fuzzers tun le ni ipin ti o da lori boya wọn mọ awọn iṣẹ inu ti eto naa ti wọn jẹ iruju, ati lo imọ yẹn lati ṣe iranlọwọ iran data fuzz. Nigbati a ba lo awọn fuzzers lati ṣe idanwo eto kan laisi oye eto inu rẹ, o pe ni idanwo apoti dudu.
Awọn data Fuzz ti ipilẹṣẹ lakoko idanwo apoti dudu jẹ igbagbogbo laileto ayafi ti fuzzer jẹ fuzzer ti o da lori iyipada itankalẹ, nibiti o ti 'kọ ẹkọ' nipa ṣiṣe abojuto ipa ti iruju rẹ ati lilo iyẹn alaye lati liti awọn oniwe-fuzz data ṣeto.
Idanwo apoti funfun ni apa keji nlo awoṣe ti eto inu inu eto lati ṣe ipilẹṣẹ data fuzz. Ọna yii jẹ ki fuzzer kan wa si awọn ipo pataki ninu eto kan ki o ṣe idanwo rẹ.
Awọn Irinṣẹ Fuzzing Gbajumo
Nibẹ ni o wa ọpọlọpọ iruju irinṣẹ jade nibẹ lo nipa pen testers. Diẹ ninu awọn olokiki julọ ni:
Awọn idiwọn Of Fuzzing
Lakoko ti Fuzzing jẹ ilana idanwo ikọwe iwulo gaan, kii ṣe laisi awọn aṣiṣe rẹ. Diẹ ninu awọn wọnyi ni:
- Yoo gba akoko pipẹ pupọ lati ṣiṣe.
- Awọn ipadanu ati awọn ihuwasi airotẹlẹ miiran ti a rii lakoko idanwo apoti dudu ti eto le nira, ti ko ba ṣeeṣe lati ṣe itupalẹ tabi ṣatunṣe.
- Ṣiṣẹda awọn awoṣe iyipada fun awọn fuzzers ti o da lori iyipada ọlọgbọn le jẹ akoko-n gba. Nigba miiran, o le ma ṣee ṣe nitori awoṣe titẹ sii jẹ ohun-ini tabi aimọ.
Sibẹsibẹ, o jẹ ohun elo to wulo ati iwulo fun ẹnikẹni ti o fẹ lati ṣawari awọn idun ṣaaju awọn eniyan buburu.
ipari
Fuzzing jẹ ilana idanwo ikọwe ti o lagbara ti o le ṣee lo lati ṣii awọn ailagbara ninu sọfitiwia. Nibẹ ni o wa ọpọlọpọ awọn yatọ si orisi ti fuzzers, ati titun fuzzers ti wa ni idagbasoke gbogbo awọn akoko. Lakoko ti fuzzing jẹ irinṣẹ iwulo iyalẹnu, o ni awọn idiwọn rẹ. Fun apẹẹrẹ, awọn fuzzers le rii ọpọlọpọ awọn ailagbara nikan ati pe wọn le jẹ ohun elo to lekoko. Sibẹsibẹ, ti o ba ti o ba fẹ lati gbiyanju jade yi iyanu ilana fun ara rẹ, a ni a API Fuzzer DNS ọfẹ ti o le lo lori pẹpẹ wa.
Nitorina kini o n reti fun?
