Uniofuzz — Универсальный Фаззер
В это сложно поверить, но это универсальный фаззер для всего: браузеров, веб-сервисов, программ, работающих с файловой системой, и сетевых приложений. И все это написано на Python с использованием стандартных библиотек.
Что такое Фаззинг?
Фаззинг — перспективная технология тестирования приложений, суть которой заключается в том, что вместо ожидаемых данных приложению передаются случайные данные или специально составленные данные. Большую часть составляют случайные данные. Смысл этой проверки заключается в том, что разработчик не может знать, какие данные будут предоставлены его приложению\протоколу, следовательно, чтобы предотвратить возможную уязвимость, нужно проверить столько вариантов, сколько будет возможно проверить. Программные интерфейсы, на вход которых передаются данные включают:
— API
— Файлы
— Сетевые порты
Если приложение зависает или завершает работу аварийно, то это считается обнаружение дефекта в нем, который может привести к нахождению уязвимости. Хакер может сделать запрос, который вызовет переполнение. Программа может не завершить работу, но выполнит код. Так же дело обстоит и с обработкой данных из файлов и протоколов, обработкой передаваемых параметров функции и прочим.
Найденные ошибки с помощью технологии фаззинга в таких файлах, как PPT, XLS, BMP, DOC могут служить примером неправильной файловой обработке. Это не вызывает удивления, ведь синтаксический анализ сложных структур данных – не лёгкая задача, замысловатый код почти всегда имеет ошибки, которые могут выявить уязвимость в безопасности.
Инструкция:
Язык интерфейса: English
Пароль на архив: www.spy-soft.net
Скачать бесплатно
Uniofuzz 0.1.2
Хмм….нудное занятие