Перейти к содержимому

Фотография

Про фаззинг замолвите слово…


  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1 baranceva

baranceva

    Профессионал

  • Admin
  • PipPipPipPipPipPip
  • 4 245 сообщений
  • ФИО:Баранцева Наталья


Отправлено 27 октября 2011 - 08:00

Если у вас произошел сбой программы, не
думайте, что это просто сбой. Вполне вероятно,
что некоторая часть так называемых сбоев –
это приглашение для злоумышленника написать
атакующий код. Не воспринимайте сбой как
«просто сбой».

(Майкл Ховард)

Автор: Татьяна Зинченко

Прошла первая конференция ConfeT&QA, на которой я выступала с докладом про фаззинг. Очень много отзывов было примерно такого содержания: «Очень интересный доклад, но я совсем не знаю, что такое фаззинг».

Что же такое фаззинг и с чем его едят?



Фаззинг – это один из подвидов тестирования безопасности. Определений для него неимоверно много. Википедия определяет фаззинг как технологию тестирования программного обеспечения, когда вместо ожидаемых входных данных программе передаются случайные или специально сформированные данные. Т.е. программе чаще всего подсовываются заведомо неправильные данные, при этом отслеживаются такие ситуации, когда система не может их обработать и вылетает. Аварийное завершение работы считается нахождением дефекта в программе и может привести к дальнейшему выявлению уязвимости.

У нас этот вид тестирования еще не очень распространен, а на западе им пользуются уже достаточно давно. Еще в 1988 году Барт Миллер опубликовал работу The Fuzz Generator, в которой впервые был определен термин Fuzzing. А особо активное использование началось в 2006 году, когда при помощи фаззинга была найдена масса уязвимостей в Internet Explorer, Microsoft Word и Microsoft Excel. Сейчас фаззинг является одним из самых эффективных методов выявления проблем безопасности кода.

Выделяется три подхода к выявлению недостатков системы: тестирование методом черного, серого и белого ящиков. Различие между ними определяется теми ресурсами, которые доступны во время тестирования.



Читать дальше
  • 0
Наталья Баранцева
Тренинги по тестированию ПО


Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных