《模糊测试-强制性安全漏洞发掘》--读书笔记

来源:互联网 发布:js字符串包含 某个元素 编辑:程序博客网 时间:2024/05/16 15:31
《模糊测试-强制性安全漏洞发掘》--读书笔记



前言:
        第一部分:背景==>介绍不同的、具体的模糊测试类型;
        第二部分:目标和自动化==>关注模糊测试的各种相关应用目标;
        第三部分:高级模糊测试技术==>讨论模糊测试领域的各种高级主题;
        第四部分:展望==>总结;

        模糊测试的基本思想是自动产生和发送大量随机的或经过变异的输入值给软件,若发生失效或异常,便可挖掘出软件系统存在的
薄弱环节和安全漏洞。
        模糊测试(过程):向产品有意识地输入无效数据以期望触发错误条件或引起产品的故障。这些错误条件可以指导我们找出那些
可挖掘的安全漏洞。模糊测试没有实际的执行规则,测试结果是这种技术成功性的唯一度量。
        有效的模糊测试:关键在于明确对什么样的产品使用什么样的测试数据,以及需要什么工具来操纵、监控和管理模糊测试过程。


        模糊测试的定义:一种通过提供非预期的输入并监视异常结果来发现软件故障的方法。
        所有的模糊器分为两大类:
                1.基于变异的模糊器(mutation-based fuzzer):对已有数据样本应用变异技术以创建测试用例;
                2.基于生成的模糊器(generation-based fuzzer):对目标协议或文件格式建模的方法从头开始产生测试用例;





























工具:owasp  JBroFuzz

注:
    模糊测试-强制性安全漏洞发掘(FUZZING-Brute Force Vulnerability Discovery)Michael Sutton  Adam Greene  Pedram Amini著
    黄陇  于莉莉  李虎译    机械工业出版社



0 0
原创粉丝点击