Фузз тестирање
Фузз тестирање или замагљивање је техника софтверског тестирања стављања неважећих или случајних података под називом ФУЗЗ у софтверски систем ради откривања грешака у кодирању и сигурносних рупа. Сврха фузз тестирања је уметање података помоћу аутоматизованих или полуаутоматизованих техника и тестирање система на разне изузетке попут пада система или квара уграђеног кода итд.
Фузз тестирање првобитно је развио Бартон Миллер на Универзитету у Висцонсину 1989. Фузз тестирање или фуззинг је техника софтверског тестирања и врста је сигурносног тестирања .
Зашто радити Фузз тестирање?
- Фуззи тестирање обично открива најозбиљнију сигурносну грешку или квар.
- Фузз тестирање даје ефикаснији резултат када се користи са тестирањем црне кутије, бета тестирањем и другим методама отклањања грешака.
- Фузз тестирање се користи за проверу рањивости софтвера. То су врло исплативе технике испитивања.
- Фузз тестирање је једна од техника тестирања црне кутије. Фуззинг је један од најчешћих хакера који се користе за проналажење рањивости система.
Како се врши Фузз тестирање
Кораци за нејасно тестирање укључују основне кораке испитивања -
Корак 1) Идентификујте циљни систем
Корак 2) Идентификујте улазе
Корак 3) Генеришите нејасне податке
Корак 4) Извршите тест користећи нејасне податке
Корак 5) Надгледајте понашање система
Корак 6) Дефекти дневника
Примери фузера
-
Фуззери засновани на мутацијама мењају постојеће узорке података како би створили нове податке о тестовима. Ово је врло једноставан и директан приступ, ово започиње важећим узорцима протокола и задржава мангирање сваког бајта или датотеке.
-
Фуззери засновани на генерацији дефинишу нове податке на основу уноса модела. Почиње да генерише улазне податке од нуле на основу спецификација.
-
Фузер на бази протокола , најуспешнији фузер је поседовање детаљних знања о формату протокола који се испитује. Разумевање зависи од спецификације. Укључује унос низа спецификација у алат, а затим техником генерисања теста заснованом на моделу прођите кроз спецификацију и додајте неправилности у садржају података, редоследу итд. Ово је такође познато као синтаксно тестирање, граматичко тестирање, испитивање робусности, итд. Фуззер може генерисати тест случајеве из постојећег или може користити важеће или неваљане улазе.
Постоје два ограничења фуззирања заснованог на протоколу:
- Тестирање се не може наставити док спецификација не сазри.
- Многи корисни протоколи су продужетак објављених протокола. Ако се испитивање фузз-а темељи на објављеним спецификацијама, покривеност тестом за нове протоколе биће ограничена.
Најједноставнији облик фуззинг технике је слање случајног уноса у софтвер или као протоколарни пакет или као догађај. Ова техника прослеђивања насумичног уноса веома је моћна за проналажење грешака у многим апликацијама и услугама. Доступне су и друге технике које је врло лако применити. Да бисмо применили ове технике, потребно је само да променимо постојеће улазе. Унос можемо променити само заменом битова уноса.
Врсте грешака откривених Фузз тестирањем
-
Кварови у тврдњама и цурење меморије, ова методологија се широко користи за велике апликације где грешке утичу на сигурност меморије, што је озбиљна рањивост.
- Неправилан унос
У фузз тестирању, фуззери се користе за генерисање неисправног уноса који се користи за тестирање рутина за руковање грешкама, а то је важно за софтвер који не контролише свој унос. Једноставно мешање може бити познато као начин аутоматизације негативног тестирања.
- Грешке у исправности
Фузинг се такође може користити за откривање неких врста грешака у „исправности“. Као што је оштећена база података, лоши резултати претраге итд.
Фузз Алати за тестирање
Алати који се користе у веб безбедности могу се широко користити у фузз тестирању као што су Бурп Суите, Пеацх Фуззер итд.
- Пеацх Фуззер
Пеацх Фуззер пружа робусније и сигурније покривање од скенера. Остали алати за тестирање могу претраживати само познате нити, док Пеацх Фуззер омогућава корисницима да пронађу познате и непознате нити.
- Спике Проки
То је алат професионалне класе који тражи рањивости на нивоу апликација у веб апликацијама. СПИКЕ Проки покрива основе, попут СКЛ Ињецтион-а и скриптирање на више локација, али је потпуно отворена Питхон инфраструктура. СПИКЕ Проки је доступан за Линук и Виндовс.
- Вебсцараб
Вебсцараб је написан на Јави и тако преносив на многе платформе. За анализу апликације користи се Вебсцараб фрамеворк који комуницира помоћу ХТТП и ХТТПС протокола.
Нпр .: Вебсцараб ради као пресретачки прокси, омогућава оператеру да прегледа и модификује захтев који је креирао прегледач пре него што их сервер прими. И дозволите да прегледате и ажурирате одговор који је генерисао сервер пре него што га прегледач прими. На тај начин, ако веб скарабеј пронађе било какву рупу, направиће списак пријављених проблема.
- ОВАСП ВСФуззер
ВСФуззер је ГПЛ-ов програм који је написан на Питхону. ГПЛ-ов програм тренутно циља веб услуге. У тренутној верзији ОВАСПВСФуззер СОАП услуге засноване на ХТТП-у су главни циљ.
Предности Фузз тестирања
- Фузз тестирање побољшава тестирање безбедности софтвера.
- Грешке пронађене у фузингу понекад су озбиљне и већину времена хакери користе, укључујући падове, цурење меморије, необрађени изузетак итд.
- Ако било коју грешку тестери не примете због ограничења времена и ресурса, те грешке се такође налазе у Фузз тестирању.
Мане Фузз тестирања
- Само Фузз тестирање не може пружити потпуну слику опште безбедносне претње или грешака.
- Фузз тестирање је мање ефикасно за бављење безбедносним претњама које не изазивају рушења програма, попут неких вируса, црва, тројанаца итд.
- Фузз тестирање може открити само једноставне грешке или претње.
- Да би се ефикасно извели, биће потребно значајно време.
- Постављање граничног услова са случајним улазима је врло проблематично, али сада употреба детерминистичких алгоритама заснованих на корисничким улазима већина тестера решава овај проблем.
Резиме:
У софтверском инжењерству, Фузз тестирање показује присуство грешака у апликацији. Фуззинг не може гарантовати потпуно откривање грешака у апликацији. Али употребом Фузз технике осигурава да је апликација робусна и сигурна, јер ова техника помаже у откривању већине уобичајених рањивости.
Овај чланак је написала Приианка Котхе