未知的未知 几大模糊测验工具
发布时间:2022-06-04 09:26:38 所属栏目:安全 来源:互联网
导读:别被模糊这词儿给迷惑了。模糊测试是一个很重要的流程,有助于发现影响当今复杂应用程序的未知关键错误,有时候甚至能暴露出一些让人脑洞大开或者七窍生烟的奇葩问题。优秀的模糊测试工具常能够在程序面向公众发布或部署前,就发现那些难以察觉的漏洞大坑。
|
别被“模糊”这词儿给迷惑了。模糊测试是一个很重要的流程,有助于发现影响当今复杂应用程序的未知关键错误,有时候甚至能暴露出一些让人“脑洞大开”或者“七窍生烟”的奇葩问题。优秀的模糊测试工具常能够在程序面向公众发布或部署前,就发现那些难以察觉的漏洞“大坑”。 只要程序员考虑周密、代码严谨,大多数此类商业逻辑漏洞都会被事先预测到。但没人能够预想到所有的情况。用户面对输入框犯傻的时候总会出现一些“奇葩”的非预期行为。此外,如果攻击者向应用、加密内容、操作系统指令或原始代码注入命令行函数,又会出现什么情况? 模糊测试工具能够测试、发现并报告这些假设情况。有些模糊测试工具使用随机字符和输入字符串,有些则聚焦最有可能出现的问题领域。例如,就整数字段而言,最有可能触发非预期程序行为的罪魁祸首,就是零值、大数和负值。在检测目标程序时,还有其他一些模糊测试工具会尝试提供上下文相关但非预期的输入。 无论哪种情况,最好的模糊测试工具产生的数据,必然不会偏离预期输入太远,不会马上就被软件的解析器当成无效输入而拒绝。相反,它们提供的数据有很大概率被程序接受,但又是程序员没预料到的。然后,这些工具就会报告被测试应用中非预期输入触发了哪些行为。 开发人员经常会使用很多开源模糊测试工具,少量商业应用工具,以及各种模糊测试框架。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐