Inona no atao hoe Fuzzing?
Intro: Inona no atao hoe Fuzzing?
Tamin'ny 2014, mpijirika Shinoa nijirika tao amin'ny Rafitra Fahasalamam-piarahamonina, rojo hôpitaly amerikana mitady tombony, ary nangalatra angon-drakitra marary 4.5 tapitrisa. Nanararaotra ny bibikely antsoina hoe Heartbleed ireo hackers izay hita tao amin'ny tranomboky kriptografika OpenSSL volana vitsivitsy talohan'ny hack.
Heartbleed dia ohatra iray amin'ny kilasin'ny vesatra fanafihana izay ahafahan'ny mpanafika miditra amin'ny lasibatra amin'ny alàlan'ny fandefasana fangatahana diso endrika izay manan-kery handalo fisavana mialoha. Na dia manao izay ho afany aza ireo matihanina miasa amin'ny faritra samihafa amin'ny fampiharana iray mba hiantohana ny fiarovana azy, dia tsy azo atao ny mieritreritra ireo tranga an-jorony rehetra izay mety handrava fampiharana iray na hahatonga azy ho marefo mandritra ny fampandrosoana.
Eto no misy ny 'fuzzing'.
Inona no atao hoe Fuzzing Attack?
Fuzzing, fuzz testing, na fuzzing attack, dia teknika fitiliana rindrankajy mandeha ho azy ampiasaina hamelomana data kisendrasendra, tsy ampoizina, na tsy mety (antsoina hoe fuzz) ao anaty programa. Araha-maso ny fandaharana raha misy fihetsika tsy mahazatra na tsy ampoizina toy ny fihoaran'ny buffer, fianjerana, fahatapahan'ny fahatsiarovana, fihantona ny kofehy, ary fandikana ny fidirana mamaky/manoratra. Ny fitaovana fuzzing na fuzzer dia ampiasaina hamantarana ny anton'ny fihetsika tsy mahazatra.
Ny fuzzing dia mifototra amin'ny fiheverana fa ny rafitra rehetra dia misy bibikely miandry ho hita, ary azo omena fotoana sy loharano ampy hanaovana izany. Ny ankamaroan'ny rafitra dia manana parsers tena tsara na fisorohana fanamafisana ny fidirana cybercriminals avy amin'ny fanararaotana ny bug hypothetical amin'ny programa iray. Na izany aza, araka ny voalaza etsy ambony, dia sarotra ny manarona ny zorony rehetra mandritra ny fampandrosoana.
Ny fuzzers dia ampiasaina amin'ny programa izay mandray ny fidirana voarafitra na manana karazana fetra azo antoka. Ohatra, ny programa izay manaiky rakitra PDF dia manana fanamarinana sasany mba hahazoana antoka fa manana fanitarana .pdf sy parser ny rakitra mba hikarakarana ny rakitra PDF.
Ny fuzzer mahomby dia afaka mamokatra fidirana manan-kery mba hialana amin'ireo fetra ireo nefa tsy manan-kery ka miteraka fihetsika tsy ampoizina any ambanin'ny fandaharana. Zava-dehibe izany satria ny fahafahana mandalo fotsiny ny fanamarinana dia tsy midika loatra raha tsy misy loza aterak'izany.
Ny Fuzzers dia mahita ireo vectors fanafihana tena mitovy amin'ny ary ao anatin'izany ny tian'ny tsindrona SQL, ny scripting amin'ny tranokala, ny fihoaran'ny buffer, ary ny fanafihana fandavana ny serivisy. Ireo fanafihana rehetra ireo dia vokatry ny famahanana angona tsy ampoizina, tsy mety, na kisendrasendra ao anaty rafitra iray.
Karazana Fuzzers
Ny fuzzers dia azo sokajiana araka ny toetra sasany:
- Fanafihana tanjona
- Fomba famoronana Fuzz
- Fahatsiarovan-tena amin'ny rafitra fampidirana
- Fahatsiarovana ny firafitry ny programa
1. Fanafihana tanjona
Ity fanasokajiana ity dia mifototra amin'ny karazana sehatra ampiasain'ny fuzzer hanandrana. Ny fuzzers dia matetika ampiasaina miaraka amin'ny protocols sy rindranasa rindrambaiko. Ny sehatra tsirairay dia manana karazana fampidirana manokana azony, ary noho izany dia mitaky karazana fuzzers samihafa.
Ohatra, rehefa mifandray amin'ny rindranasa, dia miseho amin'ny fantsona fampidirana isan-karazany amin'ny rindranasa ny andrana manjavozavo rehetra, toy ny fifandraisan'ny mpampiasa, terminal andalana baiko, fampidirana endrika/soratra, ary fampidinana rakitra. Noho izany, ny fampidirana rehetra vokarin'ny fuzzer dia tsy maintsy mifanaraka amin'ireo fantsona ireo.
Ny fuzzers mifandray amin'ny protocols fifandraisana dia tsy maintsy miatrika fonosana. Ny fuzzers mikendry an'ity sehatra ity dia afaka mamorona fonosana sandoka, na miasa ho toy ny proxy hanova ny fonosana voasakana sy hamerina azy ireo.
2. Fomba famoronana Fuzz
Azo sokajiana ihany koa ny fuzzers mifototra amin'ny fomba famoronana angon-drakitra ho an'ny fuzz. Ara-tantara, ny fuzzers dia namorona fuzz tamin'ny famoronana angona kisendrasendra avy amin'ny scratch. Izany no nataon'ny Profesora Barton Miller, ilay mpanorina an'io teknika io, tamin'ny voalohany. Ity karazana fuzzer ity dia antsoina hoe a fuzzer mifototra amin'ny taranaka.
Na izany aza, na dia afaka mamorona angon-drakitra ara-teorika izay handalo ny sisintany azo antoka aza ny olona iray, dia mitaky fotoana sy loharanon-karena be ny hanaovana izany. Noho izany, ity fomba ity dia matetika ampiasaina amin'ny rafitra misy rafitra fampidirana tsotra.
Ny vahaolana amin'ity olana ity dia ny manova ny angon-drakitra fantatra fa manan-kery mba hamoronana angon-drakitra manan-kery handalo sisintany azo antoka, nefa tsy manan-kery hiteraka olana. Ohatra tsara amin'izany ny a DNS fuzzer izay maka anaram-pirahalahiana ary avy eo dia mamoaka lisitra be dia be amin'ny anaran-tsehatra mba hamantarana ireo sehatra mety hanimba ny tompon'ilay sehatra voatondro.
Ity fomba fiasa ity dia marani-tsaina kokoa noho ny teo aloha ary tena teritery ny fanovana azo atao. Ny fuzzers izay mampiasa io fomba io dia antsoina hoe fuzzers mifototra amin'ny mutation.
Misy fomba fahatelo vao haingana izay mampiasa algorithm génétique mba hifanaraka amin'ny angona fuzz tsara indrindra ilaina hanesorana ireo vulnerabilities. Izy io dia miasa amin'ny alàlan'ny fanatsarana hatrany ny angona fuzz, amin'ny fiheverana ny fahombiazan'ny angona fitsapana tsirairay rehefa ampidirina amin'ny programa.
Esorina ao amin'ny dobo data ny andiana angon-drakitra manao asa ratsy indrindra, fa ny tsara indrindra kosa dia miova sy/na mitambatra. Ny angon-drakitra taranaka vaovao dia ampiasaina amin'ny fitsapana fuzz indray. Ireo fuzzers ireo dia antsoina hoe fuzzers mifototra amin'ny mutation evolisiona.
3. Fahatsiarovana ny rafitra fampidirana
Ity fanasokajiana ity dia mifototra amin'ny hoe mahafantatra sy mampiasa am-pahavitrihana ny firafitry ny programa amin'ny famoronana angona fuzz ny fuzzer. ny mpanao fuzzer moana (Fuzzer izay tsy mahafantatra ny firafitry ny fandaharana) dia miteraka fuzz amin'ny fomba kisendrasendra. Mety ho tafiditra ao anatin'izany ny fuzzers mifototra amin'ny taranaka sy mutation.
Raha misy fuzzer omena ny maodely fampidirana fandaharana iray, ny fuzzer dia afaka manandrana mamorona na manova angona mba hifanaraka amin'ny modely fampidirana nomena. Ity fomba fiasa ity dia mampihena bebe kokoa ny habetsaky ny loharanon-karena lany amin'ny famokarana angona tsy mety. Ny fuzzer toy izany dia antsoina hoe a smart fuzzer.
4. Fahatsiarovana ny firafitry ny fandaharana
Ny fuzzers dia azo sokajiana ihany koa arakaraka ny fahafantarany ny fiasan'ny programa ao anatiny, ary mampiasa izany fahatsiarovan-tena izany mba hanampiana ny famokarana angona fuzz. Rehefa ampiasaina ny fuzzers mba hitsapana programa nefa tsy mahafantatra ny rafitra anatiny, dia antsoina hoe fitiliana boaty mainty izany.
Ny angon-drakitra fuzz vokarina mandritra ny fitiliana boaty mainty dia matetika kisendrasendra raha tsy hoe fuzzer mifototra amin'ny fiovan'ny evolisiona ny fuzzer, izay 'mianatra' amin'ny fanaraha-maso ny vokatry ny fuzzing sy ny fampiasana izany. vaovao hanatsara ny fitambaran'ny angona fuzz.
Ny fitsapana White-boaty kosa dia mampiasa maodely amin'ny firafitry ny programa mba hamoronana angona fuzz. Ity fomba fiasa ity dia mamela ny fuzzer mankany amin'ny toerana manan-danja amin'ny programa iray ary manandrana azy.
Fitaovana Fuzzing malaza
Misy maro ny manjavozavo fitaovana any ivelany ampiasain'ny pen tester. Ny sasany amin'ireo malaza indrindra dia:
Famerana ny Fuzzing
Na dia teknika fitsapana penina tena ilaina aza ny Fuzzing, dia tsy misy hadisoana izany. Ny sasany amin'ireo dia:
- Mitaky fotoana lava ny mihazakazaka.
- Mety ho sarotra ny fianjerana sy ny fihetsika tsy nampoizina hita nandritra ny fitiliana ny fandaharana iray, raha tsy azo atao ny manadihady na manao debug.
- Mety handany fotoana ny famoronana môdely mutation ho an'ny fuzzers mifototra amin'ny mutation smart. Indraindray, mety tsy ho azo atao akory izany noho ny modely fampidirana ho fananana na tsy fantatra.
Na izany aza, fitaovana tena ilaina sy ilaina ho an'izay te hahita bibikely alohan'ny olon-dratsy.
Famaranana
Ny Fuzzing dia teknika fitsapana penina matanjaka izay azo ampiasaina hanalana ny fahalemena amin'ny rindrambaiko. Misy karazana fuzzers maro samihafa, ary misy fuzzers vaovao novolavolaina foana. Na dia fitaovana tena ilaina aza ny fuzzing, dia misy ny fetrany. Ohatra, ny fuzzers dia tsy mahita afa-tsy vulnerability be dia be ary mety ho loharanon-karena be izy ireo. Na izany aza, raha te hanandrana ity teknika mahagaga ity ho anao ianao dia manana a DNS Fuzzer API maimaim-poana izay azonao ampiasaina amin'ny sehatray.
Inona àry no andrasanao?
