FUZZ测试总结

已于 2023-02-07 10:45:20 修改
阅读量4k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
分类专栏: OpenHarmony 文章标签: harmonyos c++ 华为
于 2022-12-30 10:52:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45073889/article/details/128492083
本文详细介绍了Fuzzing测试技术,涵盖Fuzzing简介、libFuzzer应用、环境配置、测试流程、用例生成与执行,以及关键接口风险和配置参数。通过实例演示如何编写和执行Fuzz用例,以及测试结果分析和日志管理。

FUZZ测试总结

Fuzzing简介

模糊测试(fuzzing test)是一种软件测试技术,其核心思想是将自动或半自动生成的随机数据输入到一个程序中,并监视程序异常,如崩溃,断言(assertion)失败,以发现可能的程序错误,比如内存泄漏,访问越界等。

Fuzzing测试框架使用了LLVM编译器框架中的libFuzzer作为Fuzzing引擎进行构建,libFuzzer是一个基于LLVM编译时路径插桩,可以对被测库API进行路径引导测试的Fuzzing引擎。

使用Fuzzing测试框架,需要完成fuzzer测试用例初始化、fuzzer用例编写、fuzzer用例编译和fuzzer用例执行几步。

Fuzzing测试关注的风险接口

开发者应该了解自身模块的接口数据输入是基于不可信的来源输入,特别是针对

  • 解析处理远程发送来的TCP/UDP或者蓝牙等协议数据
  • 通过复杂的文件解码处理等,包括音视频、图片解码、解压缩等
  • IPC跨进程的数据输入处理

通过Fuzzing的覆盖引导能力,可以有效的探测和消减外部输入造成的内存安全问题,也可以极大的增强系统稳定性。

环境配置

将toolchains添加在环境变变中:

在cmd中用hdc_std shell检测

安装Linux扩展组件readline,安装命令如下:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
测试Fuzz测试
Kant2048的博客
01-07 2680
Fuzz 测试特别适用于那些**常规测试难以覆盖**的情况,能有效挖掘隐藏的错误和安全隐患。
AFL-fuzz测试
Haber。
02-04 3027
一、AFL安装 (注:实验环境为Ubuntu 64位) 第一步,安装Clang. Clang是一个高度模块化开发的轻量级编译器,编译速度快、占用内存小、有着友好的出错提示。在使用AFL编译时,实践表明afl-clang-fast相较于afl-gcc会更高效。 第二步,安装LLVM. 可以认为LLVM是一个完整的编译器架构,也可以认为它是一个用于开发编译器、解释器相关的库。且在使用LLVM架构的时...
FUZZ模糊测试(工具+使用技巧)
website_ren的博客
08-13 1156
摘要:FuzzTesting(模糊测试)是通过向系统输入异常数据来检测漏洞的自动化测试技术,适用于子域名爆破、目录扫描等场景。文章介绍了三款常用工具:BurpSuite的Intruder模块用于目录爆破;Kali自带的Wfuzz工具支持URL参数、POST请求和Cookie测试;Go语言编写的FFUF则提供高速模糊测试功能。这些工具通过字典爆破和状态码分析来发现隐藏页面或漏洞,是渗透测试中易上手且有效的方法。
使用Python实现Fuzz测试示例
最新发布
Bruce_xiaowei的博客
09-07 464
Python Fuzz测试实现示例 本文展示了如何使用Python进行Fuzz测试,包括一个存在漏洞的示例程序和四种测试方法: 漏洞程序:模拟了JSON解析异常、命令注入、eval危险操作和正则表达式ReDoS漏洞 测试方法: AFL++与Python包装 Google的Atheris覆盖率引导Fuzzer Hypothesis基于属性的测试库 自定义随机输入生成器 关键点: 演示了如何生成随机测试输入 捕获程序崩溃和超时情况 保存导致问题的输入用例 所有方法都可用于发现Python程序中的潜在安全问题,特
介绍模糊测试Fuzz Testing,Fuzzing)
土豆洋芋山药蛋的博客
09-24 2万+
介绍模糊测试Fuzz Testing,Fuzzing) 一、什么是模糊测试? 模糊测试是一种自动或半自动的测试技术,常被用来发现软件/操作系统/网络的代码中的错误和安全性问题,其中用于输入随机的数据和不合法的数据被称为“FUZZ”。之后,系统将被监视各种异常,如系统崩溃或内置代码失败等。 模糊测试最初是由威斯康辛大学的巴顿·米勒于1989年开发的。模糊测试是一种软件测试技术,是安全测试的一种。 ...
[ 漏洞挖掘基础篇三 ] 漏洞挖掘之fuzz测试
qq_51577576的博客
04-29 1万+
🍬博主介绍 👨‍🎓 博主介绍:大家好,我是_PowerShell,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋 🙏作者水平有限,欢迎各位大佬指点,相互学习进步! 中华人民共和国网络安全法 第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动:不得提供专门用于从事侵入网络、干扰网络正常功能...
Fuzz 测试
hello.reader
06-13 1451
Fuzz(模糊测试)是一种通过向目标程序输入大量随机或经过变异的数据,以自动触发程序异常行为和未知缺陷的自动化测试方法。它可以发现传统单元测试和代码审计难以覆盖的边界条件和漏洞。本文将系统介绍 Fuzz 测试的基本原理、主流工具、实战演练以及如何在 CI/CD 流水线中集成,帮助开发者掌握并灵活运用 Fuzz 优化软件安全性和可靠性。
什么是Fuzz test
yovking的博客
05-08 1428
什么是Fuzz test Fuzz 测试,也被称为 Fuzzing,是一种通过自动化软件测试技术来增强程序安全性的方法。它工作的原理是向系统
Fuzz测试之libfuzzer使用小结
来知晓的博客
02-20 2746
项目中,为测试算法的鲁棒性,经常会用到fuzz测试进行压力测试fuzz测试是一种模糊测试方法,本质是通过灌入各种变异的随机数据,去遍历不同函数分支,以暴露程序中可能出现的问题。
XueTr工具体验:进程可见性与fuzz测试
根据提供的文件信息,我们可以对“fuzz测试工具”以及“XueTr”这一具体工具的相关知识点进行详细说明。 ### 知识点一:Fuzz测试工具概述 **Fuzz测试**,也称为**模糊测试**,是一种自动化软件测试技术。它的基本...
Fuzzing test
深空深蓝的博客
06-14 1072
Fuzzing engines Coverage-guided libFuzzer AFL Generation-based Csmith Symbolic execution KLEE
fuzz.rar(模糊测试工具)
03-03
Fuzz是世界上第一款Fuzzing工具,也是该技术称之为‘fuzzing’的原因,它是威斯康星大学研究所测试windows程序的工具。该工具利用windows的消息机制向窗口随机的发送数据,试图使得应用程序崩溃。
探索什么是模糊测试 Fuzzing Test
OKCRoss的博客
02-23 1905
虽然基于突变的模糊处理可以产生与生成模糊处理类似的效果(因为随着时间的推移,突变将被随机应用,而不会完全破坏输入的结构),但生成输入可以确保这种情况的发生。然而,有时提供的输入的形式不容易以自动化的方式生成,或者编写程序脚本来执行每个测试用例的开销很大,证明是非常缓慢的。例如,通过测量每个测试用例的代码覆盖率,Fuzzer可以计算出测试用例的哪些属性可以锻炼给定的代码区域,并逐渐演化出一套覆盖大部分程序代码的测试用例。在给定的时间内,你能产生的测试用例越少,你发现崩溃的机会就越少。
大话FUZZ测试
JBlock的博客
03-17 1万+
前言 在此之前我已经分享了关于FUZZ的两篇文章,一篇是关于FUZZ过某狗进行SQL注入,一篇是关于一款经典工具WFUZZ的使用!今天我就FUZZ测试流程进行简单分析!欢迎各位斧正! 文章目录前言正文FUZZ敏感目录御剑DirsearchDirbWFUZZ参数FUZZPayload FUZZ**栗子****关于字典****结语** 正文 核心思想 目录Fuzz( base ) 参数Fuzz Pa...
Fuzz Test是什么
Criss@陈磊
11-25 2460
Fuzz TestFuzz Test是什么Generally speaking fuzz is a brute force method which used to break software,就是用大量的测试用例一个一个试,尽可能多的找出有可能出问题的地方。Fuzz Test Tool的大部分结构(1)Generate lots of malformed data as test cases,要
Fuzz测试 - 基础
热门推荐
围城
02-15 2万+
(20210215 - 这篇文章是很久之前记录在简书的草稿箱中的,这次翻出来,就迁移过来) 2020/07/10 - 0. 引言 本文主要是阅读了文章[1]的简单总结,简单记录一下知识点,后续会安排更多的文章来具体描述。 1. Fuzz测试 在我之前的理解中,Fuzz测试就是通过构造不规则的输入,从而触发程序的某种bug;虽然也知道几款工具,但是只是停留在了解阶段。传统的漏洞挖掘包括三种方法:白盒代码审计,灰盒逆向工程,黑盒测试Fuzz测试属于其中的黑盒测试。现在有了人工智能及深度学习的帮助,能够借助更多
Fuzzing测试你懂吗?
paischool的博客
04-18 5266
Fuzzing测试对于很多同学都比较陌生,甚至一些做过多年测试的同学都没有听说过。作为以为专业的测试人员,一般是根据软件的功能逐步设计测试用例,先覆盖所有正常的功能,然后再设计一些非法的测试用例(俗称:negative),比如:一些非法的用户输入或者边界值,再然后是一些性能和压力的用例。即使是整个团队通过全面的用例review后,发现有时候用户还会报上来一下稀奇古怪的bug。 最著名的例子要属于,...
fuzzing是什么
weixin_34095889的博客
11-27 2643
一、说明 大学时两个涉及“模糊”的概念自己感觉很模糊。一个是学数据库出现的“模糊查询”,后来逐渐明白是指sql的like语句;另一个是学专业课时出现的“模糊测试”。 概念是懂的,不外乎是“模糊测试是一种软件测试技术,其核心思想是自动或半自动的生成随机数据输入到一个程序中,并监视程序异常,如崩溃,断言(assertion)失败,以发现可能的程序错误,比如内存泄漏”。 这种定义也许很准确,但对没接触过...
漫谈软件测试中的Fuzz测试技术
Marian's testing
12-15 1563
  我相信大家对测试不陌生,但是对安全测试可能有一些疑问。安全测试关心的问题是不一样的。这种测试也被人叫做工具测试、渗透测试、攻击测试测试产品安全性。  这种测试需要首先知道各种各样的攻击的方式和原理,在攻击产生之前尽量多的找到产品的漏洞,尽量多的发现产品里面的问题,再努力把它解决掉。  What is the difference between security testing and tr
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员3哥

有用的话赏点吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值