fuzz testing:模糊测试
模糊测试(fuzz testing,fuzzing)是一个软件测试技术,它通过向系统输入大量的随机数据(称为fuzz)企图使系统崩溃,来发现编码错误和软件、操作系统和网络中的安全漏洞。如果发现了漏洞,一个称为模糊测试仪(或fuzzer)的工具,会显示可能的起因。模糊测试最初是由Barton Miller于1989年在威斯康星大学开发的。 Fuzzer能很好的检测出可能导致程序崩溃的问题,如缓冲区溢出、跨站点脚本,拒绝服务攻击、格式漏洞和SQL injection。这些问题经常被恶意黑客使用,来以最短的时间造成最大可能的破坏。但是,模糊测试在处理不会导致程序崩溃的安全威胁时不太有效,如间谍软件、一些病毒、蠕虫、特洛伊木马和键盘记录器。 模糊测试(fuzz testing)很简单,并且其性价比也很高。模糊测试经常显示软件在编写和调试时被忽视的漏洞。但是,它通常只能找出最严重的缺陷。在特定情况下或应用程序中,模糊测试并不能为程序提供一个全面的安全、质量和有效的保证。Fuzzer在与黑盒子测试、beta测试和其他调试方法结合使用时最有效。
最近更新时间:2010-03-28 翻译:曾芸芸EN
相关推荐
-
在内部应用安全测试中使用模糊测试
最近,一位研究员用模糊测试发现了许多苹果和微软的漏洞。在内部软件开发过程中如何使用模糊测试来发现漏洞呢?
-
研究员模糊测试发现Apple和微软产品存在大量漏洞
安全分析师Charlie Miller通过模糊测试发现,Apple、Microsoft和Adobe Systems公司的产品存在大量漏洞,他在CanSecWest应用安全会议上分享了这一测试过程……
-
Fuzzing可以有效地挖掘跨站点脚本的漏洞吗?
Fuzzing ( 模糊测试)是一个通过向软件重复发送不同输入值来挖掘该软件漏洞的过程,试图使目标程序中断或崩溃。多年来,研究人员一直使用Fuzzer工具软件有效地找到缓冲区溢出漏洞……
-
模糊测试是安全软件开发方法的一部分吗?
模糊测试,事实上不是一种新技术。由于目前人们聚焦于开发更加安全的软件,模糊测试才被更加广泛应用并成为公认的代码测试方法。