记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

通过libFuzzer实现结构敏感型的模糊测试技术(下)

(接上文)针对状态API的模糊测试到目前为止,我们已经讨论了针对使用单个结构化输入的API的模糊测试方法。不过,有些API可能与前面介绍的API差距甚大。例如,有些API不会直接使用数据,相反,它们是由许多函数组成的,并且仅在API处于特定状态时,这些函数才起作用。这种有状态API对于网络软件来说是非常常见的。对于这种API来说,使用protobuf进行模糊测试也很有效。这时,我们只需定义一个描述API调用序列(或跟踪)的protobuf消息,并实现一个函数来执行跟踪。示例:gRPC API Fuzzer虽然gRPC的API Fuzzer并没有使用libFuzzer的自定义mutator或protobuf,但是,它仍然
发布时间:2019-03-11 12:20 | 阅读:51944 | 评论:0 | 标签:技术 libFuzzer

BitCoin那么火,是挖矿,还是挖洞,这是一个问题?

近日,Google宣布投入$1k to $20k奖励给参与OSS-Fuzz的合适的开源项目,比特币Bitcoin 鼓励开发者尽快支持 libFuzzer,以期尽早发现安全漏洞,有效控制漏洞的影响范围。 不过加入OSS-Fuzz的开源项目,需要接受Google对漏洞报告公开的规则,即漏洞修复后30天或报告提交后90天,两者选一个较早值,披露漏洞详情。 到底Bitcoin能否顺利支持libFuzzer,我们拭目以待。 其实无论是否加入OSS-Fuzz,由于巨大利益的驱动,有理由相信针对Bitcoin“用力挖洞“的人不会少。 在此之前,有必要深入连接一下Google OSS-Fuzz项目的具体操作流程和使用方式。 项目介绍 Fuzz testing(模糊测试)是挖掘软件编程漏洞常用的方法之一,可以检测到诸如缓冲区溢
发布时间:2017-06-03 23:00 | 阅读:104909 | 评论:0 | 标签:工具 Fuzz testing libFuzzer OSS-Fuzz

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云