Mozilla 推出 FuzzDB,安全測試用例數據庫
Mozilla 推出了 FuzzDB 開源項目,這是一個用于對應用程序進行 Fuzz 安全測試的攻擊模式和發現模式數據庫,也就是一個包含了各種安全攻擊模式的測試用例集合。其中包括可用于識別特殊的服務器響應和文檔資源的攻擊模式、可預測的資源名稱、正則表達式模式等等。
FuzzDB 可以用來做什么?
你可以使用 FuzzDB 來測試 Web 應用程序的安全性,比如:
- 可結合流行的滲透測試工具(如 OWASP Zap 或 Burp Suite Web)對應用進行滲透測試
- 作為一個標準的 ZAP Intercepting Proxy 插件
- 構建新的自動掃描器和自動化滲透測試工具
- 通過使用 HTTP 語義以外的東西來測試 Web 服務
- 可作為惡意輸入內容,來測試 GUI 或命令行軟件
- 使你的開源或商業應用程序安全性更高
- 識別你的探測器中的特殊響應
- 可通過這些測試用例來模擬攻擊你的 Web 服務器,以測試 IDS 或 IPS
- Web 安全產品測試
- 測試自定義的 Web 服務器或其他網絡服務中的漏洞
- 構建入侵識別和響應系統
- 可作為一個學習工具,幫你更好地理解各種不同的、惡意的、能導致漏洞的字節組合 </ul>
對于推出 FuzzDB 的原因,開發者 Amuntner 表示:
在網絡安全方面,大多數人只關注攻擊表面的東西,而很少去關注攻擊模式庫的開發。當我們動態測試 Web 應用程序的安全漏洞時,我們所使用的測試用例是否足夠好?是否足夠全面?
因此我將精力放在了找某些類型安全漏洞的速度和準確性上,并開始對各種攻擊字符串、攻擊文件和詞典進行收集和分類,然后重新組織,就誕生了 FuzzDB。
</blockquote>FuzzDB 既然是一個安全測試用例集合,那么也不排除別有用心的人會利用它進行破壞。對此 Amuntner 認為,該項目的根本目的是用來進行安全測試,如果開發人員和測試人員在軟件開發周期中使用了 FuzzDB,那么其他人就不會有機會找到漏洞。
Amuntner 表示,FuzzDB 的終極目標是——作為一個攻擊工具,FuzzDB 已經過時了。因為 Web 應用程序都已變得更加安全了,攻擊者通過 FuzzDB 也找不到類似的漏洞了。
詳細信息:Introducing FuzzDB
項目地址:https://github.com/rustyrobot/fuzzdb
來自: www.iteye.com本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!