¿Qué es un buen marco de fuzzing para confundir una aplicación local independiente?

5

He estado buscando guías y tutoriales sobre cómo hacer fuzz y hasta ahora todo lo que he visto ha sido para servidores web. Si quisiera difuminar algo a lo largo de las líneas de calc.exe o un programa que repitiera los argumentos pasados. ¿Qué marco debo usar y cómo debo hacerlo? Estoy buscando ayuda para confundir una aplicación que recibe 0 tráfico de red y recibe entradas a través de cuadros de diálogo o argumentos de línea de comando.

    
pregunta Jannu 24.04.2013 - 23:28
fuente

4 respuestas

8

Respuesta actualizada: si está utilizando Windows, pruebe el Motor de observación de errores CERT ( FOE) . Es un framework fuzzing para Windows. Tiene la capacidad de hacer difusos basados en archivos, hacer clic en los cuadros de diálogo y otras cosas.

Respuesta anterior: Te sugiero que comiences con zzuf. Es el fuzzer de línea de comandos más simple y fácil de usar para fuzzing programas independientes que leen su entrada de archivos, stdin o la línea de comandos. Es extremadamente fácil de usar y es un buen punto de partida.

También puede consultar el CERT Basic Fuzzing Framework .

Luego, si quieres ser más sofisticado, puedes mirar otros fuzzers (Spike, etc.), pero eso te ayudará a comenzar.

Si desea borrar los programas que reciben información a través de cuadros de diálogo, lo siento, no sé qué recomendar.

    
respondido por el D.W. 25.04.2013 - 01:26
fuente
4

Definitivamente, debes probar american fuzzy lop . Es un fuzzer que funciona con la entrada estándar de la aplicación (o un archivo pasado a través de los argumentos de la línea de comando) y alimenta el programa con datos aleatorios. Luego observa las rutas de código que fueron activadas por él y elige inteligentemente nuevos casos de prueba para maximizar la cobertura de la prueba. Ya encontró cientos de errores de código abierto.

    
respondido por el d33tah 14.10.2015 - 00:50
fuente
3

Puede fuzz GUI utilizando Peach Fuzzing Framework ( enlace )

Aquí hay un artículo al respecto: enlace

    
respondido por el boutetnico 25.04.2013 - 15:19
fuente
0

si desea Fuzz Web Applications, hay un potente y fácil de usar fuzzing en el escáner de seguridad de aplicaciones web de Acunetix y proyectos de OWASP Fuzzing como JBroFuzz, etc. debe tener habilidades para la construcción de XML de peach peach, además de que no hay suficiente documento para ello, por supuesto). SPIKE y otras utilidades están disponibles en Kali Linux o Backtrack y la penetración en la distribución de Linux. Finalmente, si tiene conocimientos de programación (C, Python, ...) también puede crear su propio Fuuzer especial

Buena suerte

    
respondido por el Khalegh Salehi 15.08.2013 - 07:41
fuente

Lea otras preguntas en las etiquetas