在内部应用安全测试中使用模糊测验
发布时间:2022-04-18 15:23:28 所属栏目:安全 来源:互联网
导读:问:一位研究员最近用模糊测试发现了许多苹果和微软的漏洞。在内部软件开发过程中如何使用模糊测试来发现漏洞呢? 答:现在,很多软件开发员、正规的安全研究者和网络罪犯都在使用模糊测试技术一种用大量无效的、意料之外的,或者随机的数据来轰击运行中的程
|
问:一位研究员最近用模糊测试发现了许多苹果和微软的漏洞。在内部软件开发过程中如何使用模糊测试来发现漏洞呢? 答:现在,很多软件开发员、正规的安全研究者和网络罪犯都在使用模糊测试技术——一种用大量无效的、意料之外的,或者随机的数据来轰击运行中的程序的输入的技术——来测试代码的坚固性。如果模糊数据导致程序在响应这个参数操作时出现失效、崩溃、锁起、消耗内存,或者不可控制的错误的话,开发者或研究者就会知道代码中存在缺陷。这就是模糊工具常被称为错误注入器的原因,而模糊测试也被称为坚固性测试或者负面测试。最初的模糊工具Fuzz是Wisconsin Madison大学的教授Barton Miller和他的学生们在1989年开发的。 微软通过运行上百万次的模糊测试在Office2010中发现了超过1800个错误,这些测试不光在他们实验室的机器上运行,也在他们公司内部的闲置个人计算机上运行。早期模糊测试需要测试员在一台机器上设置一个模糊测试软件,然后让它运行一个星期。我认为你的应用程序不太会和微软Office一样大型和复杂,但是可以肯定模糊测试一样会在你的软件开发生命周期中发挥作用。 在内部软件的开发流程中增加模糊测试肯定会提高软件的可靠性和安全性,因为它可以发现那些通常代码检查和人工测试很难发现的错误。由于这个方式涉及到使用那些被黑客用来发现漏洞的工具,它还可能帮你赶在黑客之前发现漏洞。但是,模糊测试需要与其他测试技术相结合;模糊器不总能发现那些不会引起程序崩溃的漏洞,例如加密或者其他的数据保护流程的不足。重要的是要把模糊测试作为一个漏洞发现方式,而不是一种质量保证方式。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐