问:Fuzzing可以有效地挖掘跨站点脚本的漏洞吗？  

答:简而言之，可以。在初学者看来，Fuzzing ( 模糊测试)是一个通过向软件重复发送不同输入值来挖掘该软件漏洞的过程，试图使目标程序中断或崩溃。多年来，研究人员一直使用Fuzzer工具软件有效地找到缓冲区溢出漏洞。在这些分析中，研究人员可以使用的工具软件有免费的通用fuzzer，或商业性Mu- 4000模糊应用。为了找到一个难以确定的漏洞， fuzzer可能花几个星期，向发送数十亿个用户输入参数，让分析过程自动进行。现在有大量免费的fuzzers可以提供这样的功能。
 
    对于跨站点脚本(XSS)，一个fuzzer可以将不同的浏览器脚本输入到目标网站里，组合不同的字符串、功能性、编码、大小和用户输入的其它方面，来判断目标网站应用程序是将输入值反射，还是保存，并不经过任何过滤反馈回研究人员。如果Fuzzer的危险脚本的确畅通地返回，就表明目标应用程序很容易受到XSS攻击。黑客可以将脚本输入到应用程序中，并使用者的浏览器上运行。
 
    2007年7月，Google公开宣布正在开发一个供自己内部使用的XSS fuzzer。这个命名为Lemon(柠檬)的项目表明Google已经意识到跨站点脚本的威胁，而且fuzzer可以帮助找到这些漏洞。在过去的一年里，Google的应用程序已经发现一些XSS漏洞。设计Lemon的目的是为了在黑客攻击这些漏洞前，就找出漏洞，并由Google及时修补。目前，Lemon仅限于Google内部使用，不过Google的员工已经在公开场合谈论这项工具。
 
    其他免费的、公开的源代码工具也已经开始处理XSS模糊问题了，例如，“公开网络应用安全项目(OWASP)”的WebScarab扫描工具。该项目详细描述了WebScarab作为XSS fuzzer工具软件的使用方法。
 
    Fuzzing是有用的，但测试过程并不能找出所有的漏洞。Fuzzing软件通常都是非智能型的;它只是向目标发出一大堆垃圾（精心挑选的垃圾，但不是真正的垃圾），旨在找到一些怪异的反应。然而，这些怪异的反应可能过于微小以至Fuzzer难以检测到。同样，Fuzzer发送出的输入值可能无法包括所有的必须的技术组合，来检测目标软件的漏洞。因此，Fuzzing本身并不能充分确保一个程序是否安全的。 一套综合的软件测 试方法会包括包括构架审查、代码审查与详细测试，Fuzzing应该是包括在其中的一部分。