模糊测试流程----fuzz笔记(1)
来源:互联网 发布:淘宝店铺装修宝贝分类 编辑:程序博客网 时间:2024/05/18 02:53
1.Target:
试目标,就不赘述了。
2.确定输入向量:
几乎漏洞的形成原因大都是对于客户端传输的数据(也就是input)没有经过过滤等,在服务端造成了恶意的影响。
例如WEB端进行fuzz:从客户端向服务端传输数据包{ 能传输的任何数据(例如header,useragent等)},这些传输的数据大多数都可能为模糊测试变量。
3.生成模糊测试数据:
基于测试中,如何选择自动化输入的数据,是使用字典,还是用随机数,还是特定生成的字典呢。
4.执行模糊测试数据:
在这个步骤中,就要向你的服务端发送数据包(WEB端),发送在上一步骤中生成的数据包。当然web端还是要小心waf,如果一次性发10k个数据包,那么只会引起反效果。
5.监视回显:
在这一步,根据测试目标的不同自然监视方式也不同,要根据测试的类型来设置各样的监视
6.判断漏洞是否能被利用:
根据测试的类型不同,那么前几个阶段的权重,顺序或许可以进行调整,但是仍不能保证可百分百发现所有安全相关的缺陷。
1 0
- 模糊测试流程----fuzz笔记(1)
- 软件安全测试(fuzz)之大家一起学1: fuzz platform架构
- FUZZ初学笔记(一)
- FUZZ初学笔记(二)
- 漫谈软件测试中的Fuzz测试技术
- 漫谈软件测试中的Fuzz测试技术
- 使用Afl-fuzz (American Fuzzy Lop) 进行fuzzing测试(待续)
- Android的fuzz测试技术之符号执行浅谈-android学习之旅(82)
- 使用Afl-fuzz (American Fuzzy Lop) 进行fuzzing测试(待续)
- 用于FUZZ测试的程序及其详解
- 笔记(1)Sqlite3的模糊查询
- 使用Afl-fuzz (American Fuzzy Lop) 进行fuzzing测试(二)——详细使用说明(README.txt)
- 使用Afl-fuzz (American Fuzzy Lop) 进行fuzzing测试(三)——技术白皮书(technical whitepaper)
- 使用Afl-fuzz (American Fuzzy Lop) 进行fuzzing测试(四)——直接对二进制进行fuzzing
- 模糊测试
- 模糊测试
- 模糊测试
- 使用afl-fuzz的QEMU模式测试chome
- 完全卸载ORACLE-经验笔记
- erase的正确使用
- Java集合HashSet<T>,TreeSet<T>的使用
- 线程Thread实现界面定时提醒功能与时间显示
- java 静态(static)变量放在那里?
- 模糊测试流程----fuzz笔记(1)
- (OK) IPv6 does not work over bridge
- android 性能测试工具Emmagee介绍
- struts2整合json要注意的问题
- Android Screen Monitor抓取模拟器与真机界面
- UnicodeDecodeError: 'ascii' codec can't decode byte 0xe6 in position 117: ordinal not in range(128)
- 搭建ciscoR&S的实验环境
- intellij idea项目导入svn
- 原码, 反码, 补码 详解