模糊测试定义为“通过向应用提供非预期的输入并监控输出中的异常来发现软件中的故障(faults)的方法”。
典型而言,模糊测试利用自动化或是半自动化的方法重复地向应用提供输入。显然,上述定义相当宽泛,但这个定义阐明了模糊测试的基本概念。
是基于变异(mutation-based)的模糊测试器,这一类测试器通过对已有的数据样本进行变异来创建
测试用例;
是基于生成(generation-based)的模糊测试器,该类测试器为被测系统使用的协议或是文件格式建模,基于模型生成输入并据此创建测试用例。这两种模糊测试器各有其优缺点。
如果你是模糊测试的新手,可以将模糊测试类比成如何闯进一所房子。假设你不幸丢了工作,不得不以犯罪为生,现在你想要破门进入一所房子。
如果采用纯白盒测试的方法,你需要在破门前得到房子的所有相关信息,包括房子的蓝图(blueprints),房子的锁的生产厂家、房子的建筑材料等。显然,白盒测试放在这种情况下有独特的好处,但也并非万无一失。应用白盒测试方法,你需要对房子进行静态分析而不是进行运行时(实际进入房子时)检查。例如,通过静态分析你发现这所房子起居室的侧面窗户有一个漏洞,可以把窗户打碎进入房子。但你肯定没办法预见到你进入后的事情,也许当你进入以后,发现愤怒的房主正在屋里拿着枪等你。
另外,你可以采用黑盒测试方法来进入这所房子。采用黑盒测试方法,你可以在黑暗的掩护下接近房子,悄悄测试所有的门和窗户,向房子内窥视以决定最好的突破口。但是,如果你最终选择使用模糊测试方法进入这所房子,你可以既不用研究房子的蓝图、也不用手工尝试所有那些锁,只需要选择一种武器并让进入房子的过程完全自动化——这就是强制安全漏洞发现方法的威力!
采用何种模糊测试方法取决于众多因素。没有所谓的一定正确的模糊测试方法,决
定采用何种模糊测试方法完全依赖于被测应用、测试者拥有的技能、以及被进行模糊测
试的数据的格式。但是,不论对什么应用进行模糊测试,不论采用何种模糊测试方法,
模糊测试执行过程都包含相同的几个基本阶段。
只有有了明确的测试目标后,我们才能决定使用的模糊测试工具或方法。如果要在安全审计中对一个完全由内部开发的应用进行模糊测试,测试目标的选择必须小心谨慎。但如果是要在第三方应用中找到安全漏洞,测试目标的选择就更加灵活。要决定第三方应用模糊测试的测试目标,首先需要参考该第三方应用的供应商历史上曾出现过的安全漏洞。在一些典型的安全漏洞聚合网站如 SecurityFocus 18 和 Secunia 19 上可以查找到主要软件供应商历史上曾出现过的安全漏洞。如果某个供应商的历史记录很差,很可能意味着这个供应商的代码实践 (code practice)能力很差,他们的产品有仍有很大可能存在未被发现的安全漏洞。除应用程序外,应用包含的特定文件或库也可以是测试目标。
如果需要选择应用包含的特定文件或者库作为测试目标,你可以把注意力放在多个应用程序之间共享的那些二进制代码上。因为如果这些共享的二进制代码中存在安全漏洞,将会有非常多的用户受到影响,因而风险也更大。
几乎所有可被利用的安全漏洞都是因为应用没有对用户的输入进行校验或是进行必要的非法输入处理。是否能找到所有的输入向量(input vector)是模糊测试能否成功的关键。如果不能准确地找到输入向量,或是不能找到预期的输入值,模糊测试的作用就会受到很大的局限。有些输入向量是显而易见的,有些则不然。寻找输入向量的原则是:从客户端向目标应用发送的任何东西,包括头(headers)、文件名(file name)、环
境变量(environment variables),注册表键(registry keys),以及其他信息,都应该被看做是输入向量。所有这些输入向量都可能是潜在的模糊测试变量。
一旦识别出输入向量,就可以依据输入向量产生模糊测试数据了。究竟是使用预先确定的值、使用基于存在的数据通过变异生成的值、还是使用动态生成的值依赖于被测应用及其使用的数据格式。但是,无论选择哪种方式,都应该使用自动化过程来生成数据。
该步骤紧接上一个步骤,正是在这个步骤,“模糊测试”变成了动词。在该步骤中,一般会向被测目标发送数据包、打开文件、或是执行被测应用。同上一个步骤一样,这个步骤必须是自动化的。否则,我们就不算是真正在开展模糊测试。
一个重要但经常容易被忽略的步骤是对异常和错误进行监控。设想我们在进行一次模糊测试,在测试中,我们向被测的 Web 服务器发送了 10000 个数据包,最终导致了服务器崩溃。但服务器崩溃后,我们却怎么也找不到导致服务器崩溃的数据包了。如果这种事真的发生了,我们只能说这个测试毫无价值。模糊测试需要根据被测应用和所决定采用的模糊测试类型来设置各种形式的监视。
如果在模糊测试中发现了一个错误,依据审计的目的,可能需要判定这个被发现的错误是否是一个可被利用的安全漏洞。这种判定过程是典型的手工过程,需要操作者具有特定的安全知识。这个步骤不一定要由模糊测试的执行者来进行,也可以交给其他人来进行。