模糊測試，也稱為模糊測試，是一種自動化軟件測試技術，涉及向計算機程序提供無效、意外或隨機數(shù)據(jù) (fuzz) 作為輸入。目標是查找可以利用的編碼錯誤、漏洞、安全漏洞和漏洞。本文首先介紹模糊測試的一些基本類型。然后使用“測試鎖”的比喻來解釋這種技術的具體細節(jié)。給出了可用工具的列表，并探討了一組最佳實踐，以便以合乎道德、有效和安全地進行模糊測試。

模糊測試的類型

模糊測試是一種通用的軟件測試技術，可根據(jù)方法論和對被測軟件的了解程度分為幾種類型。每種模糊測試都有其獨特的方法，適用于不同的測試場景。

1.黑盒模糊測試

· 定義：黑盒模糊測試是在不了解被測軟件的內部結構或實現(xiàn)細節(jié)的情況下進行的。測試人員將軟件視為接收輸入并生成輸出的黑盒。

· 方法：它涉及生成隨機輸入或使用預定義數(shù)據(jù)集來測試軟件。主要目標是觀察軟件在意外或格式錯誤的輸入下的行為。

· 用例：黑盒模糊測試通常用于無法訪問源代碼的情況，例如專有或第三方應用程序。它也常用于 Web 應用程序測試。

2. 白盒模糊測試

· 定義：白盒模糊測試需要徹底了解程序的源代碼。測試人員利用這些知識來創(chuàng)建更復雜、更有針對性的測試用例。

· 方法：通常需要進行靜態(tài)代碼分析，以了解程序流程并識別潛在的漏洞區(qū)域。然后針對這些區(qū)域設計輸入。

· 用例：白盒模糊測試非常適合對特定組件進行深入測試，尤其是在源代碼可用的情況下。它廣泛用于開發(fā)環(huán)境和安全審計。

3.灰盒模糊測試

· 定義：灰盒模糊測試是一種介于黑盒模糊測試和白盒模糊測試之間的混合方法。它需要對軟件的內部工作原理有一定的了解，但不像白盒模糊測試那樣詳細。

· 方法：這種類型的模糊測試可能使用經過檢測的二進制文件或部分源代碼訪問權限。測試人員通常擁有足夠的信息來創(chuàng)建比黑盒模糊測試更有意義的測試用例，但不需要白盒模糊測試所需的全面理解。

· 用例：灰盒模糊測試在集成測試和可訪問部分代碼的復雜應用程序的安全測試中特別有效。

4.基于變異的模糊測試

· 定義：基于變異的模糊測試涉及修改現(xiàn)有數(shù)據(jù)輸入以創(chuàng)建新的測試用例。它從一組預先存在的輸入數(shù)據(jù)(稱為種子輸入)開始，然后應用各種變異來生成新的測試輸入。

· 方法：常見的變異包括翻轉位、更改字節(jié)值或重新排列數(shù)據(jù)序列。此方法依賴于種子輸入的質量和多樣性。

· 用例：當已有一套全面的有效輸入可用時，該方法被廣泛使用。這種方法在有效輸入略有改變時，可以有效地發(fā)現(xiàn)軟件行為的偏差。

5.基于生成的模糊測試

· 定義：基于生成的模糊測試根據(jù)有效輸入格式的模型或規(guī)范從頭開始創(chuàng)建測試輸入。

· 方法：測試人員利用有關輸入格式(如協(xié)議規(guī)范、文件格式或 API 契約)的知識來生成符合或有意偏離這些規(guī)范的輸入。

· 用例：這種方法對于測試具有明確定義的輸入格式的系統(tǒng)特別有用，例如編譯器、解釋器或協(xié)議實現(xiàn)。

每種模糊測試類型都有其特定的應用和優(yōu)勢。模糊測試方法的選擇取決于多種因素，例如源代碼的可用性、所需的測試深度以及被測軟件的性質。在實踐中，結合不同的模糊測試技術可以產生最全面的結果，涵蓋各種潛在的漏洞和故障場景。

理解模糊測試：測試鎖

想象一下，您正在測試一把鎖的耐用性和質量——這臺設備設計有特定的規(guī)則和機制，就像軟件代碼一樣。在這個比喻中，模糊測試就像試圖用大量隨機生成或以各種方式更改的鑰匙來解鎖它。這些鑰匙的制作目的并不是完美地適合鎖;相反，它們是為了測試鎖對意外或錯誤輸入的反應。

模糊測試過程：密鑰生成和測試

· 隨機密鑰創(chuàng)建(黑盒模糊測試)：在此，您盲目地制作密鑰，對鎖的內部機制一無所知。這種方法類似于黑盒模糊測試，您通過向軟件拋出隨機數(shù)據(jù)來測試軟件，以查看其反應。您不關心鎖的設計細節(jié);您更感興趣的是任何奇怪的鑰匙形狀或尺寸是否會引起意外反應，例如卡住或轉動鎖。

· 精心設計的鑰匙設計(白盒模糊測試)：在這種情況下，您有鎖的藍圖。有了這些知識，您就可以創(chuàng)建專門用于測試鎖的弱點或限制的鑰匙。這類似于軟件測試中的白盒模糊測試，您可以利用對軟件代碼的理解來創(chuàng)建高度針對性的測試輸入。

· 兩者結合(灰盒模糊測試)：在這里，您對鎖有一些了解，可能是它的品牌或它通常接受的鑰匙類型。您可以使用這些信息來指導您的隨機密鑰生成過程。這類似于灰盒模糊測試，它使用一些軟件知識來創(chuàng)建比隨機測試更有效的測試用例，但不需要像白盒模糊測試那樣詳細地了解。

可用的模糊測試工具

有幾種著名的模糊測試工具可用，每種工具都針對不同類型的模糊測試和各種軟件漏洞。

1. 美國毛垂耳兔(AFL)

· 類型：灰盒模糊測試器

· 描述： AFL 是最流行的模糊測試工具之一，以高效著稱。它使用遺傳算法自動發(fā)現(xiàn)新的測試用例。AFL 特別擅長查找內存損壞錯誤，在安全和軟件開發(fā)社區(qū)中得到廣泛使用。

2. LibFuzzer

· 類型：白盒模糊測試器

· 描述： LibFuzzer 是 LLVM 項目的一部分，是一個用于對其他庫進行進程內覆蓋引導進化模糊測試的庫。它對于測試可以隔離到庫中的代碼特別有效。

3. OSS-Fuzz

· 類型：持續(xù)模糊測試即服務

· 描述： OSS-Fuzz 是 Google 為開源項目提供的免費服務。它與 AFL 和 LibFuzzer 等其他模糊測試工具集成，以持續(xù)測試目標軟件并報告發(fā)現(xiàn)的任何錯誤。

4. Peach Fuzzer

· 類型：基于生成的模糊測試器

· 描述： Peach 是一個用于對網絡協(xié)議、文件格式和 API 進行模糊測試的框架。它具有高度可定制性，允許測試人員定義自己的數(shù)據(jù)模型來生成測試輸入。

5. Fuzzilli

· 類型：灰盒模糊測試器

· 描述： Fuzzilli 是一款JavaScript引擎模糊測試工具，專注于查找 V8(Chrome、Node.js)和 JavaScriptCore(Safari)等 JavaScript 引擎中的錯誤。它使用一種獨特的方法來生成和改變 JavaScript 程序。

6. Boofuzz

· 類型：網絡協(xié)議模糊測試器

· 描述： Boofuzz 是 Sulley Fuzzing Framework 的一個分支，是一款易于使用的網絡協(xié)議模糊測試工具。它允許測試人員定義自定義網絡協(xié)議規(guī)范以進行測試。

7. 拉達姆薩

· 類型：基于變異的模糊測試器

· 描述： Radamsa 是一款通用模糊測試器，能夠生成各種基于變異的測試輸入。它對于測試處理文本、二進制文件或結構化數(shù)據(jù)等復雜輸入的軟件特別有用。

8. Burp Suite 入侵者

· 類型：主要是黑盒模糊測試器

· 描述：作為 Burp Suite 工具集的一部分，Intruder 模塊用于 Web 應用程序模糊測試。它非常適合通過自動執(zhí)行針對 Web 參數(shù)的自定義攻擊來測試 Web 應用程序。

9. 爵士樂手

· 類型：白盒模糊測試器

· 描述： Jazzer 可讓開發(fā)人員使用 LibFuzzer 查找Java應用程序中的錯誤。它特別適合使用 Java 或基于 JVM 的語言的項目。

最佳實踐

模糊測試需要仔細規(guī)劃和執(zhí)行，以確保其有效且負責任。以下是一些值得考慮的最佳實踐。

1. 道德考量

· 負責任的測試：在對不屬于您的系統(tǒng)進行模糊測試之前，請務必獲得許可。未經授權的測試，即使是出于善意，也可能是非法和不道德的。

· 數(shù)據(jù)敏感性：模糊測試處理敏感數(shù)據(jù)的應用程序時要小心謹慎。確保測試不會損害數(shù)據(jù)隱私或完整性。

· 避免在實時系統(tǒng)上進行破壞性測試：如果您正在測試實時系統(tǒng)，請規(guī)劃您的測試以盡量減少破壞性。模糊測試可能會導致系統(tǒng)崩潰或無響應，這對生產環(huán)境來說可能是個問題。

· 告知利益相關者：確保所有利益相關者都了解測試及其潛在影響。這包括系統(tǒng)管理員、安全團隊和用戶群。

· 法律合規(guī)：遵守相關法律法規(guī)，特別是與網絡安全和數(shù)據(jù)保護相關的法律法規(guī)。

2. 全面覆蓋

· 多樣化的技術：采用各種模糊測試技術(黑盒、白盒、灰盒等)來覆蓋不同的攻擊媒介和場景。

· 跨不同層進行測試：不僅要測試應用層，還要測試網絡、數(shù)據(jù)存儲和 API(如果適用)。這可確保全面評估系統(tǒng)的彈性。

· 輸入多樣性：使用各種各樣的輸入數(shù)據(jù)，包括意外和格式錯誤的數(shù)據(jù)，來測試系統(tǒng)如何處理不同的場景。

· 盡可能實現(xiàn)自動化：自動化可以幫助生成大量不同的測試用例，確保更全面的覆蓋。

· 迭代方法：根據(jù)之前的測試結果不斷完善模糊測試策略。這種迭代方法有助于覆蓋新領域并提高測試效率。

3.持續(xù)監(jiān)測

· 實時監(jiān)控：實施監(jiān)控工具，在模糊測試期間實時跟蹤系統(tǒng)的性能和行為。這有助于及時發(fā)現(xiàn)崩潰、掛起或性能下降等問題。

· 記錄和文檔：確保系統(tǒng)地記錄所有模糊測試活動和觀察到的異常。此文檔對于調試和將來參考至關重要。

· 資源利用率監(jiān)控：關注系統(tǒng)資源(CPU、內存、磁盤使用情況等)，以檢測潛在的資源泄漏或性能瓶頸。

· 警報機制：設置警報系統(tǒng)，如果在模糊測試期間檢測到嚴重問題或異常，則通知相關團隊。

· 后續(xù)分析：模糊測試后，對結果進行徹底分析。調查任何故障的根本原因并記錄所吸取的教訓。

遵守這些最佳實踐有助于以合乎道德、有效且安全的方式進行模糊測試。這需要在積極測試軟件以發(fā)現(xiàn)隱藏的漏洞與以負責任的方式進行測試并注意潛在影響之間取得平衡。

總結

就像用多把鑰匙測試一把鎖可以揭示其優(yōu)缺點一樣，模糊測試可以測試軟件的穩(wěn)健性和安全性。這是一種用意外條件探測軟件的方法，就像用一組非常規(guī)鑰匙挑戰(zhàn)一把鎖一樣。這種方法有助于發(fā)現(xiàn)在標準測試程序下隱藏的漏洞，確保軟件(如一把好鎖)僅在正確的條件下按預期響應。