Fuzz测试

程序所使用的数据并不是全部严格遵守软件规定的数据格式。例如,攻击者往往会尝试对软件所约定的数据格式进行稍许修改,观察软件在解析这种”畸形数据”时是否会发生错误,发生什么样的错误,以及堆栈是否能被溢出等。

Fuzz测试目的即是验证程序接收处理畸形数据是否发生异常,Fuzz测试过程中会随机或按照数据模板生成畸形数据,测试软件的容错性、稳定性和安全性。Fuzz测试一般借助工具进行,例如Peach Fuzz支持对文件格式、com、网络协议、API等进行Fuzz测试。

Continue reading »