Što je Fuzz testiranje?

Fuzz testiranje smatra se vrstom ispitivanja u kojoj su potrebne automatizirane ili poluautomatske tehnike ispitivanja kako bi se otkrile pogreške u kodiranju kao i rupe u sigurnosti bilo softvera ili operativnih sustava davanjem unosa slučajnih podataka u sustav. Ovaj slučajni podatak naziva se FUZZ. Uostalom, to se događa, sustav se provjerava na različite vrste izuzetaka poput pada sustava ili čak i ugrađeni kod nije uspio i još mnogo toga. To je izvorno razvio netko zvani Barton Miller koji je bio sa Sveučilišta u Wisconsinu. Također se naziva fuzzing smatra se vrstom sigurnosnog ispitivanja.

Zašto nam treba Fuzz testiranje?

  • Fuzzovo testiranje često može otkriti najozbiljnije sigurnosne pogreške u sustavu.
  • Daje mnogo učinkovitije rezultate kada ga koristimo zajedno s Black Box testiranjem, Beta testiranjem ili različitim metodama za uklanjanje pogrešaka.
  • Također je potrebna za provjeru ranjivosti softvera. To je ujedno i vrlo isplativa tehnika ispitivanja.
  • Smatra se da je jedna tehnika ispitivanja crne kutije. To je također jedan od najkorištenijih hakera koji otkriva ranjivost sustava.

Kako se izvodi neispravno testiranje?

Koraci za nerazumljivo testiranje uključuju osnovne korake ispitivanja -

Korak 1 : Prepoznavanje ciljnog sustava.

Korak 2 : Prepoznavanje ulaza.

Korak 3 : Generacija nejasnih podataka

Korak 4 : Ispitivanje pomoću neizrazitih podataka.

Korak 5 : Nadgledanje ponašanja sustava.

Korak 6 : Zapisivanje nedostataka.

Primjeri plamenika

Ima puno fuzera kao što slijedi:

  • Fuzeri zasnovani na mutaciji: Ti fuzeri mijenjaju postojeće uzorke podataka tako da daju svježe testne podatke. To je vrlo lako, kao i izravna metoda, započinje s razumnim protokolom i nastavlja miješati svaki pojedini bajt ili čak kao datoteku.
  • Generacije temeljene na pladnju: Oni definiraju nove podatke ovisno o unosu modela. Pokreće se unos od nule, ovisno o specifikaciji.
  • Fuzzer temeljen na protokolu: Smatra se da je rasplinjač najuspješniji koji ima prilično objašnjeno znanje o formatu protokola koji se mora testirati. To razumijevanje ovisi o specifikaciji. Uključuje pisanje niza specifikacija unutar alata i nakon toga koristi tehniku ​​zasnovanu na modelu. Poznato je i kao testiranje sintakse ili testiranje gramatike ili ispitivanje robusnosti.

Imamo dva ograničenja tog protokola temeljenog natapanja koje je pod:

  1. Ne možemo nastaviti s testiranjem sve dok specifikacija nije dovoljno zrela.
  2. Postoji mnogo protokola koji su produžetak objavljenih protokola. U slučaju da se fuz testiranje temelji na ovim specifikacijama koje su objavljene, tada će se pokrivenost ovih novih protokola ograničiti.

Postoji najjednostavniji oblik testiranja fuzzinga koji je slanje nasumičnog unosa u softver u obliku protokolarnih paketa ili čak u obliku događaja. Ovaj osobiti način prosljeđivanja slučajnih ulaza smatra se prilično moćan za pronalaženje grešaka u različitim aplikacijama i uslugama. Postoje i druge tehnike koje su također dostupne i one su vrlo jednostavne za implementaciju.

Vrste grešaka otkrivene Fuzz testiranjem

  • Propuštanje memorije i oštećenja tvrdnji: Ova se metoda široko koristi u širokim primjenama gdje greške utječu na sigurnost memorije koja se smatra ozbiljnom ranjivošću.
  • Neispravan unos: Fuzeri su potrebni za generiranje nevažećeg unosa koji je potreban za testiranje rutina upravljanja pogreškama kod neispravnog testiranja. Također je sasvim potrebno za softver koji ne kontrolira ulaz. Puhanje se smatra načinom automatizacije negativnog ispitivanja.
  • Ispravnost programskih pogrešaka : Neprekidno je potrebno za otkrivanje nekoliko vrsta grešaka „ispravnosti“ poput oštećene baze podataka ili loših rezultata pretraživanja i još mnogo toga.

Alati za ispitivanje raspršivačem

Alati koji su vrlo korisni u web sigurnosti mogu se u velikoj mjeri koristiti i u nejasnom testiranju ili nejasnom. Na primjer, Breskva od papira, Burp Suite itd.

1. Freszer breskve

Ovaj alat pruža mnogo robusnije, kao i sigurnosnu pokrivenost u odnosu na skener. Ako govorimo o drugim alatima za testiranje, oni ipak mogu pretraživati ​​samo poznate prijetnje. Ali Peach Fuzzer omogućuje korisnicima otkrivanje poznatih i nepoznatih prijetnji.

2. Spike proxy

Spike se smatra alatom za profesionalnu ocjenu koji pretraživa ranjivosti na razini aplikacije u raznim web aplikacijama. SPIKE Proxy razmatra samo osnove kao što su SQL ubrizgavanje ili skripta na različitim mjestima. Međutim, u potpunosti je otvorena infrastruktura Pythona. SPIKE Proxy prisutan je i za Linux i za Windows.

prednosti

  • Bugovi koji su otkriveni fuzz testiranjem često se smatraju teškim i uglavnom ga koriste hakeri koji se sastoje od rušenja sustava, curenja memorije ili neovlaštene iznimke i još mnogo toga.
  • Ako bilo koja greška ili greška ne uspeju da otkriju testeri zbog ograničenja vremena i resursa, tada se te greške mogu otkriti u Fuzzovom testiranju.

Nedostaci

  • Sve samo, neprovjereno testiranje samo nema mogućnost dati opći scenarij svih sigurnosnih prijetnji.
  • Također, smatra se da neispravno testiranje nije stvarno učinkovito kada se bave sigurnosnim pogreškama koje ne uzrokuju pad sustava kao što su virusi, crvi itd.
  • Ima mogućnost otkrivanja samo jednostavnih prijetnji.
  • Da bi se postigao učinkovit rad, potrebno mu je puno vremena.

Zaključak

Stoga možemo zaključiti da u softverskom inženjerstvu ovo testiranje, odnosno Fuzzovo testiranje, pokazuje prisutnost grešaka u bilo kojoj aplikaciji. Ovo testiranje ne osigurava cjelovito otkrivanje grešaka ni u jednoj aplikaciji. Međutim, ako koristimo ovu tehniku ​​Fuzz, to jamči da je primjena prilično robusna, kao i siguran razlog, jer ispitivanje nejasnoća pomaže u izlaganju mnogih uobičajenih ranjivosti.

Preporučeni članci

Ovo je vodič za Fuzz testiranje. Ovdje razgovaramo o tome što je fuzz testiranje? alate za testiranje, prednosti i nedostaci. Možete i proći naše druge predložene članke da biste saznali više -

  1. Benchmark testiranje
  2. Vrste testiranja softvera
  3. Što je testiranje upotrebljivosti?
  4. Statičko ispitivanje

Kategorija:

Razvoj softvera