Menene Fuzzing?

Gabatarwa: Menene Fuzzing?

A cikin 2014, masu kutse na kasar Sin kutse cikin Tsarin Kiwon Lafiyar Jama'a, sarkar asibitocin Amurka don riba, kuma ta sace bayanan marasa lafiya miliyan 4.5. Masu satar bayanan sun yi amfani da wani kwaro mai suna Heartbleed wanda aka gano a dakin karatu na OpenSSL wasu watanni kafin a yi kutse.

Zuciya misali ne na nau'in nau'in nau'in harin da ke ba maharan damar isa ga manufa ta hanyar aika buƙatun da ba su dace ba masu inganci don ƙaddamar da bincike na farko. Yayin da ƙwararrun da ke aiki akan sassa daban-daban na ƙa'idar suna yin iya ƙoƙarinsu don tabbatar da tsaron sa, ba zai yuwu a yi tunanin duk wani yanayi na kusurwa da zai iya karya app ko sanya shi cikin rauni yayin haɓakawa.

Wannan shine inda 'fuzzing' ke shigowa.

Menene Harin Fuzzing?

Fuzzing, gwajin fuzz, ko hari mai ban tsoro, fasaha ce mai sarrafa kansa ta software da ake amfani da ita don ciyar da bazuwar, ba zato, ko bayanan mara inganci (wanda ake kira fuzz) cikin shirin. Ana sa ido akan shirin don sabbin halaye ko halayen da ba zato ba kamar su buffer ambaliya, hadarurruka, zubewar ƙwaƙwalwar ajiya, rataye zaren, da cin zarafin karatu/rubutu. Ana amfani da kayan aiki mai fuzzer ko fuzzer don gano musabbabin halin da ba a saba gani ba.

Fuzzing ya dogara ne akan zato cewa duk tsarin yana ɗauke da kwari da ke jira don ganowa, kuma ana iya ba da isasshen lokaci da albarkatu don yin hakan. Yawancin tsarin suna da ingantattun magudanar bayanai ko hana shigar da bayanai cybercriminals daga yin amfani da duk wani kuskuren hasashe a cikin shirin. Duk da haka, kamar yadda muka ambata a sama, rufe duk lokuta na kusurwa yayin ci gaba yana da wuyar gaske.

Ana amfani da fuzzers akan shirye-shiryen da ke ɗaukar shigarwar da aka tsara ko suna da wani nau'in iyaka na amana. Misali, shirin da ke karɓar fayilolin PDF zai sami ɗan inganci don tabbatar da fayil ɗin yana da tsawo da .pdf da parser don aiwatar da fayil ɗin PDF.

Fuzzer mai tasiri na iya samar da bayanai masu inganci don wuce waɗannan iyakoki amma ba su da inganci don haifar da halayen da ba zato ba tsammani a ƙasan shirin. Wannan yana da mahimmanci saboda kawai samun damar wuce abubuwan tabbatarwa ba yana nufin da yawa ba idan ba a sami ƙarin lahani ba.

Fuzzers suna gano nau'ikan harin da suka yi kama da kuma sun haɗa da irin su alluran SQL, rubutun giciye, ambaliya mai ɓarna, da hana hare-haren sabis. Duk waɗannan hare-haren sun faru ne sakamakon ciyar da bayanan da ba zato ba tsammani, mara inganci, ko bazuwar cikin tsarin.

Nau'in Fuzzers

Ana iya rarraba Fuzzers bisa wasu halaye:

Makasudin kai hari
Hanyar ƙirƙirar fuzz
Sanin tsarin shigarwa
Sanin tsarin shirin

1. Kai hari

Wannan rarrabuwa ya dogara ne akan irin dandamalin da fuzzer ke amfani da shi don gwadawa. Ana yawan amfani da fuzzers tare da ka'idojin cibiyar sadarwa da aikace-aikacen software. Kowane dandali yana da takamaiman nau'in shigar da yake karɓa, don haka yana buƙatar nau'ikan fuzzers daban-daban.

Misali, lokacin da ake mu'amala da aikace-aikace, duk wani yunƙuri mai ban tsoro yana faruwa a tashoshi na shigarwa daban-daban na aikace-aikacen, kamar mahaɗin mai amfani, tashar layin umarni, shigarwar fom/rubutu, da loda fayil. Don haka duk abubuwan da fuzzer ke samarwa dole ne su dace da waɗannan tashoshi.

Fuzzers masu mu'amala da ka'idojin sadarwa dole ne su magance fakiti. Fuzzers da ke niyya wannan dandali na iya samar da fakitin jabun, ko ma su yi aiki azaman wakili don gyara fakitin da aka kama da sake kunna su.

2. Hanyar Ƙirƙirar Fuzz

Hakanan za'a iya rarraba fuzzers dangane da yadda suke ƙirƙirar bayanai don fuzz da su. A tarihi, fuzzers sun ƙirƙiri fuzz ta hanyar samar da bayanan bazuwar daga karce. Wannan shi ne yadda Farfesa Barton Miller, wanda ya fara wannan fasaha, ya yi da farko. Ana kiran wannan nau'in fuzzer a fuzzer na tushen tsara.

Duk da haka, yayin da mutum zai iya samar da bayanan da za su ƙetare iyakokin amincewa, zai ɗauki lokaci da albarkatu don yin haka. Don haka galibi ana amfani da wannan hanyar don tsarin tare da tsarin shigarwa mai sauƙi.

Magani ga wannan matsalar ita ce canza bayanan da aka sani suna da inganci don samar da ingantaccen bayanan da za su wuce iyakar amincewa, duk da haka ba su da inganci don haifar da matsala. Kyakkyawan misali na wannan shine a DNS fuzzer wanda ke ɗaukar sunan yanki sannan ya haifar da babban jerin sunayen yanki don gano yiwuwar ɓarna yankuna masu niyya ga mai ƙayyadadden yanki.

Wannan tsarin ya fi wayo fiye da na baya kuma yana ƙunshe da yuwuwar lalacewa. Fuzzers masu amfani da wannan hanyar ana kiran su maye gurbi na tushen fuzzers.

Akwai wata hanya ta uku da ta fi kwanan nan wacce ke yin amfani da algorithms na kwayoyin halitta don haɗawa kan ingantattun bayanan fuzz da ake buƙata don kawar da lahani. Yana aiki ta ci gaba da tace bayanan fuzz ɗin sa, yana la'akari da aikin kowane bayanan gwaji lokacin ciyar da shi cikin shirin.

Ana cire mafi munin saiti na bayanai daga wurin ajiyar bayanai, yayin da mafi kyawun an canza su da/ko hade. Ana amfani da sabon ƙarni na bayanai don sake yin gwaji. Ana kiran waɗannan fuzzers kamar fuzzers tushen maye gurbi.

3. Fadakarwa Kan Tsarin Shigarwa

Wannan rarrabuwa ya dogara ne akan ko fuzzer yana sane kuma yana amfani da tsarin shigar da shirin a cikin samar da bayanan fuzz. A bebe fuzzer (mai fuzzer wanda bai san tsarin shigar da shirin ba) yana haifar da fuzz a mafi yawan bazuwar salon. Wannan na iya haɗawa da tsararraki biyu da fuzzers na tushen maye gurbi.

Idan an samar da fuzzer tare da samfurin shigar da shirye-shirye, fuzzer na iya ƙoƙarin ƙirƙirar ko canza bayanai ta yadda ya dace da tsarin shigar da aka bayar. Wannan hanyar tana ƙara rage adadin albarkatun da aka kashe don samar da bayanan da ba su da inganci. Irin wannan fuzzer ana kiransa a mai hankali fuzzer.

4. Sanin Tsarin Shirin

Hakanan za'a iya rarraba fuzzers dangane da ko suna sane da ayyukan cikin shirin da suke ruɗewa, kuma suna amfani da wayar da kan jama'a don taimakawa ƙirƙirar bayanan fuzz. Lokacin da aka yi amfani da fuzzers don gwada shirin ba tare da fahimtar tsarin ciki ba, ana kiran shi gwajin akwatin-baki.

Bayanan fuzz da aka samar yayin gwajin akwatin baka yawanci bazuwar sai dai idan fuzzer shine fuzzer na tushen juyin halitta, inda ya 'koyi' ta hanyar lura da tasirin fuzzer da amfani da wannan. bayanai don tace saitin bayanan fuzz ɗin sa.

Gwajin farin-akwatin a gefe guda yana amfani da samfurin tsarin ciki na shirin don samar da bayanan fuzz. Wannan hanyar tana ba mai fuzzer damar zuwa wurare masu mahimmanci a cikin shirin kuma ya gwada shi.

Shahararrun Kayan aikin Fuzzing

Akwai da yawa fuzzing kayayyakin aiki, can da masu gwajin alƙalami ke amfani da su. Wasu daga cikin shahararrun su ne:

Iyaka na Fuzzing

Duk da yake Fuzzing fasaha ce mai amfani da gaske ta gwajin alkalami, ba ta da kurakurai. Wasu daga cikin wadannan sune:

Yana ɗaukar lokaci mai tsawo don gudu.
Haɗuwa da sauran halayen da ba zato ba tsammani da aka samu yayin gwajin akwatin baƙar fata na shirin na iya zama da wahala, idan ba zai yiwu ba a tantance ko cirewa.
Ƙirƙirar samfuran maye gurbi don masu fuzzers na tushen maye gurbi na iya ɗaukar lokaci. Wani lokaci, yana iya yiwuwa ma ba zai yiwu ba saboda ƙirar shigar da ta zama ta mallaka ko ba a sani ba.

Duk da haka, yana da kyakkyawan amfani kuma kayan aiki mai mahimmanci ga duk wanda yake so ya gano kwari kafin mugayen mutane.

Kammalawa

Fuzzing wata fasaha ce mai ƙarfi ta gwajin alƙalami wacce za a iya amfani da ita don gano lahani a cikin software. Akwai nau'ikan fuzzers da yawa, kuma ana haɓaka sabbin fuzzers koyaushe. Yayin da fuzzing kayan aiki ne mai matuƙar amfani, yana da iyakokin sa. Misali, fuzzers kawai za su iya samun lahani da yawa kuma suna iya zama mai ƙarfi na kayan aiki. Koyaya, idan kuna son gwada wannan fasaha mai ban mamaki da kanku, muna da a API ɗin Fuzzer na DNS kyauta wanda zaku iya amfani da shi akan dandalin mu.

To, me kuke jira?

Fara fuzzing yau!

Yadda ake Cire Metadata daga Fayil

Afrilu 27, 2024 No Comments

Yadda ake Cire Metadata daga Metadata Gabatarwa na Fayil, galibi ana bayyana shi azaman “bayanai game da bayanai,” shine bayanin da ke ba da cikakkun bayanai game da takamaiman fayil. Yana

Kara karantawa "

Ketare Binciken Intanet tare da TOR

Afrilu 27, 2024 No Comments

Ketare Binciken Intanet tare da Gabatarwar TOR A cikin duniyar da ake ƙara daidaita samun bayanai, kayan aiki kamar cibiyar sadarwar Tor sun zama mahimmanci ga

Kara karantawa "

Haruffa Kobold: Hare-Haren Imel na tushen HTML

Afrilu 18, 2024 No Comments

Haruffa Kobold: Hare-Haren Imel na tushen HTML A ranar 31 ga Maris, 2024, Luta Security ya fitar da labarin da ke ba da haske kan wani sabon salo na yaudara, Haruffa Kobold.

Kara karantawa "

Menene Fuzzing?

Gabatarwa: Menene Fuzzing?

Menene Harin Fuzzing?

Nau'in Fuzzers

1. Kai hari

2. Hanyar Ƙirƙirar Fuzz

3. Fadakarwa Kan Tsarin Shigarwa

4. Sanin Tsarin Shirin

Shahararrun Kayan aikin Fuzzing

Iyaka na Fuzzing

Kammalawa

Yadda ake Cire Metadata daga Fayil

Ketare Binciken Intanet tare da TOR

Haruffa Kobold: Hare-Haren Imel na tushen HTML

sabis

Kamfaninmu

Adireshinmu

Solutions

Tsaro FAQ

Social Media