Cos'è un buon framework fuzzing per la fuzzing di un'applicazione locale standalone?

5

Ho cercato guide e tutorial su come sfogliare e finora tutto ciò che ho visto è stato per i server web. Se volessi sfocare qualcosa sulla falsariga di calc.exe o un programma che riecheggiava gli argomenti passati, passava ad esso. Quale quadro dovrei usare e come dovrei farlo. Sto cercando aiuto a confondere un'applicazione che riceve 0 traffico di rete e riceve input tramite finestre di dialogo o argomenti della riga di comando.

    
posta Jannu 24.04.2013 - 23:28
fonte

4 risposte

8

Risposta aggiornata: se utilizzi Windows, prova il CERT Failure Observation Engine ( FOE) . È un framework fuzzing per Windows. Ha la capacità di eseguire il fuzzing basato su file, fare clic sulle finestre di dialogo e altre cose.

Risposta precedente: Ti suggerisco di iniziare con zzuf. È il più semplice e facile da usare, fuzzer da riga di comando per programmi stand-alone di fuzzing che leggono il loro input da file, stdin o dalla riga di comando. È estremamente facile da usare e un buon punto di partenza.

Puoi anche consultare il CERT Basic Fuzzing Framework .

Quindi se vuoi diventare più sofisticato puoi guardare altri fuzzers (Spike, ecc.), ma ciò ti aiuterà a iniziare.

Se vuoi utilizzare programmi fuzz che ricevono input tramite finestre di dialogo, mi dispiace, non so cosa consigliare.

    
risposta data 25.04.2013 - 01:26
fonte
4

Dovresti assolutamente provare american fuzzy lop . È un fuzzer che opera su input standard dell'applicazione (o su un file passato tramite gli argomenti della riga di comando) e alimenta il programma con dati casuali. Quindi controlla i percorsi di codice che sono stati attivati da esso e sceglie in modo intelligente nuovi casi di test per massimizzare la copertura del test. Ha già trovato centinaia di bug open source.

    
risposta data 14.10.2015 - 00:50
fonte
3

Puoi sfogliare la GUI utilizzando Peach Fuzzing Framework ( link )

Ecco un articolo a riguardo: link

    
risposta data 25.04.2013 - 15:19
fonte
0

se si desidera utilizzare le applicazioni Web Fuzz, è possibile eseguire operazioni di fuzzing potenti e facili da usare nello scanner di sicurezza delle applicazioni Web acunetix e nei progetti Fuzzing OWASP come JBroFuzz, ecc. Inoltre, si consiglia di utilizzare framework fuzzer come e non limitati a Peach ( devi avere competenze per la costruzione di XML di peach pit, in più non c'è abbastanza documento per questo, di maledizione). SPIKE e altre utility sono disponibili in Kali Linux o Backtrack e test di penetrazione distribuzione Linux, Infine se hai una competenza in programmazione (C, Python, ...) puoi anche costruire il tuo Fuuzer speciale

Buona fortuna

    
risposta data 15.08.2013 - 07:41
fonte

Leggi altre domande sui tag