问:Fuzzing可以有效地挖掘跨站点脚本的漏洞吗? 答:简而言之,可以。在初学者看来,Fuzzing ( 模糊测试)是一个通过向软件重复发送不同输入值来挖掘该软件漏洞的过程,试图使目标程序中断或崩溃。多年来,研究人员一直使用Fuzzer工具软件有效地找到缓冲区溢出漏洞。在这些分析中,研究人员可以使用的工具软件有免费的通用fuzzer,或商业性Mu- 4000模糊应用。
为了找到一个难以确定的漏洞, fuzzer可能花几个星期,向发送数十亿个用户输入参数,让分析过程自动进行。现在有大量免费的fuzzers可以提供这样的功能。  ……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:Fuzzing可以有效地挖掘跨站点脚本的漏洞吗?
答:简而言之,可以。在初学者看来,Fuzzing ( 模糊测试)是一个通过向软件重复发送不同输入值来挖掘该软件漏洞的过程,试图使目标程序中断或崩溃。多年来,研究人员一直使用Fuzzer工具软件有效地找到缓冲区溢出漏洞。在这些分析中,研究人员可以使用的工具软件有免费的通用fuzzer,或商业性Mu- 4000模糊应用。为了找到一个难以确定的漏洞, fuzzer可能花几个星期,向发送数十亿个用户输入参数,让分析过程自动进行。现在有大量免费的fuzzers可以提供这样的功能。
对于跨站点脚本(XSS),一个fuzzer可以将不同的浏览器脚本输入到目标网站里,组合不同的字符串、功能性、编码、大小和用户输入的其它方面,来判断目标网站应用程序是将输入值反射,还是保存,并不经过任何过滤反馈回研究人员。如果Fuzzer的危险脚本的确畅通地返回,就表明目标应用程序很容易受到XSS攻击。黑客可以将脚本输入到应用程序中,并使用者的浏览器上运行。
2007年7月,Google公开宣布正在开发一个供自己内部使用的XSS fuzzer。这个命名为Lemon(柠檬)的项目表明Google已经意识到跨站点脚本的威胁,而且fuzzer可以帮助找到这些漏洞。在过去的一年里,Google的应用程序已经发现一些XSS漏洞。设计Lemon的目的是为了在黑客攻击这些漏洞前,就找出漏洞,并由Google及时修补。目前,Lemon仅限于Google内部使用,不过Google的员工已经在公开场合谈论这项工具。
其他免费的、公开的源代码工具也已经开始处理XSS模糊问题了,例如,“公开网络应用安全项目(OWASP)”的WebScarab扫描工具。该项目详细描述了WebScarab作为XSS fuzzer工具软件的使用方法。
Fuzzing是有用的,但测试过程并不能找出所有的漏洞。Fuzzing软件通常都是非智能型的;它只是向目标发出一大堆垃圾(精心挑选的垃圾,但不是真正的垃圾),旨在找到一些怪异的反应。然而,这些怪异的反应可能过于微小以至Fuzzer难以检测到。同样,Fuzzer发送出的输入值可能无法包括所有的必须的技术组合,来检测目标软件的漏洞。因此,Fuzzing本身并不能充分确保一个程序是否安全的。 一套综合的软件测 试方法会包括包括构架审查、代码审查与详细测试,Fuzzing应该是包括在其中的一部分。
作者
相关推荐
-
在内部应用安全测试中使用模糊测试
最近,一位研究员用模糊测试发现了许多苹果和微软的漏洞。在内部软件开发过程中如何使用模糊测试来发现漏洞呢?
-
Fuzzing tool帮助Oracle DBA删除SQL注入错误
数据库安全软件厂商Sentrigo Inc.发布了新的开源fuzzing工具FuzzOr,用于识别Oracle数据库软件应用中的漏洞……
-
模糊测试是安全软件开发方法的一部分吗?
模糊测试,事实上不是一种新技术。由于目前人们聚焦于开发更加安全的软件,模糊测试才被更加广泛应用并成为公认的代码测试方法。
-
Fuzzing in Word溢出分析和利用
从03年到07年,Office连续曝出了一系列的漏洞,也就是从那时起,人们逐渐将目光从远程服务溢出转向了客户端程序的溢出……