В CERT разработали открытый инструментарий для выявления уязвимостей
28 мая 2010 года
Группа экстренного реагирования на проблемы компьютерной безопасности CERT представила (Архивная копия от 22 января 2011 на Wayback Machine) инструментарий Basic Fuzzing Framework (BFF), предназначенный для автоматизации процесса определения наличия уязвимостей в программном обеспечении. В состав пакета входит виртуальная машина на базе Linux и набор perl-скриптов для проведения испытаний программ при попытке обработки различных наборов данных. Код инструментария распространяется в рамках лицензии GPLv2.
Суть реализованного метода сводится к изучению реакции приложения при подаче на вход всевозможных комбинаций из специально сформированных некорректных или приближенных к реальным наборов данных. В случае наличия недоработок в программе, например, отсутствия должных проверок, в процессе испытания будет зафиксирован крах, ошибка или отклонение от штатного поведения. В дальнейшем проанализировав какой именно набор данных вызвал отклонение, исследователь может локализовать проблемный участок кода в программе.
Образ виртуальной машины представляет собой урезанную версию Debian, снабженную графической оболочкой на базе оконного менеджера Fluxbox, измененного в плане отключения функции установки фокуса на окно, что необходимо для организации работы во время тестирования в Basic Fuzzing Framework графических приложений. Для организации доступа к файлам вне виртуального окружения в состав интегрирован пакет VMware Tools. В состав включен набор для сборки программ, но утилита strip заменена на /bin
Источники править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.