discord icon
سرور دیسکورد گاردایران
EvilEye

Fuzzing چیست و کاربرد آن در تست برنامه های تحت وب و برنامه های دسکتاپ

پست های پیشنهاد شده

با سلام

فازینگ در واقع هنر ارسال داده به یک اپلیکیشن خاص هست.

تا در برنامه شکست ایجاد کنیم در نتیجه متوجه بشیم که آیا برنامه قابل نفوذ هست یا نه.

آیا میشه آدرس های حافظه رو دستکاری کرد و یا نه.

اگر چه ماهیت کلی این کار خودکار هست.

ولی برخی از موارد محدود با توجه به شرایط برنامه باید دستی انجام بگیره.

و مدام طول و نوع داده رو تغییر بدیم.

و هم می تونه به صورت خودکار انجام بگیره.

فازینگ یکی از تکنیک های پایه در اکسپلویت نویسی هستش.

و فرقی نمی کنه که یک برنامه تحت کلاینت باشه و یا تحت وب با فازینگ میشه ورودی برنامه ها رو چک کرد.

این بحث خیلی گسترده تر از این حرف ها هست فقط سعی کردم که توضیح مختصری بدم.

موفق باشید.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر
در 4 ساعت قبل، Reza.Black گفته است :

با سلام

فازینگ در واقع هنر ارسال داده به یک اپلیکیشن خاص هست.

تا در برنامه شکست ایجاد کنیم در نتیجه متوجه بشیم که آیا برنامه قابل نفوذ هست یا نه.

آیا میشه آدرس های حافظه رو دستکاری کرد و یا نه.

فازر ها هم به صورت دستی موجود هستن و هم خودکار.

فازینگ یکی از تکنیک های پایه در اکسپلویت نویسی هستش.

و فرقی نمی کنه که یک برنامه تحت کلاینت باشه و یا تحت وب با فازینگ میشه ورودی برنامه ها رو چک کرد.

این بحث خیلی گسترده تر از این حرف ها هست فقط سعی کردم که توضیح مختصری بدم.

موفق باشید.

شما می دونید آموزشی هست که بشه نرم افزار هارو بررسی کرد و براشون اکسپلویت نوشت یا نه؟ مثلا سیستم عامل هسته اش یا بخشی از سیستم عامل یا برنامه های سیستمی بررسی بشه و ...

من قبلا یک اکسپلویت در IEDB ثبت کرده بودم.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

در مورد آموزش و منابع داخلی اطلاعاتی ندارم.

ولی منابع خارجی کتاب هایی مثل هنر اکسپلویت نویسی و یا یکسری مطالب مربوط به black hackers در اینترنت خیلی می تونه کمک کننده باشه.

ولی مطالعه فقط بخشی از اون هست بخش دیگر اون تجربی هست و فقط سال ها با تلاش و تمرین زیاد حاصل میشه.

موفق باشید.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

سلام

فازینگ: فازینگ یک متدولوژی تست نرم افزار هست. به قول ابداع کننده فازینگ یعنی آقای بارتون میلر (استاد دانشگاه ویسکانسین) فازینگ یک روش اتوماتیک تست هست. پس فازینگ دستی معنایی نداره. کلیت کار هم به این صورت هست که ما با دادن ورودی به یک نرم افزار، امید داریم که برنامه به حالت خطا بره تا بعدا بررسی کنیم ببینیم این خطا چطور رخ داده و دلیل اون چی هست.

 کاربرد فازینگ: فازینگ توی زمینه تضمین کیفیت یا همون Quality Assurance خیلی استفاده میشه. یعنی شرکت ها قبل اینکه بیان محصولشون رو ارائه بدن به بازار، میان با فازرهای مختلف تست میکنن. مثلا مایکروسافت قبل از ارائه یک آپدیت ویندوز، میاد با فازرهای قدرتمند و عموما شخصی خودش، اونارو تست میکنه. حالا این تست کردن بعضی موقعها با هدف کشف اسیب پذیری هست. اینجاست که مفهوم دیرکتد فازینگ مطرح میشه. یعنی ما با هدف کشف یه چیز خاص فازر رو ایمپلیمنت میکنیم. 

دیرکتد فازر: ارائه ورودی به برنامه بخاطر اینکه به یه هدف مشخص برسیم. این یعنی چی؟ ببینید مثلا شما وفتی میخواید اسیب پذیری XSS پیدا بکنید توی یک سایت، دادن مقدار 1 و @#@! و !@#EDFW45 و ... هیچ فایده ای نداره. اینا فقط وقت مارو تلف میکنن. اما ورودی خوب و هدفمند چی میتونه باشه؟ یک سری ورودی که تگ اسکریپت توی اونا هست مثلا: 

<script>alert('hello')</script>
<img src=x onerror="alert('Pop-up window via stored XSS');>

و ... ازین دست موارد. 

منبع: ببینید باید هدفتون مشخص باشه، اگر صرفا برای فازینگ منبع میخواید میتونید کتاب آری تاکانن رو بخونید: آری تاکانن - فازینگ

ولی اگه هدفتون این هست توی یه حوزه مشخص از فازرهای موجود استفاده کنید بنظرم میتونید از فازینگ توی وب شروع کنید که  مفاهیمش ساده س: OWASP Fuzzing یا میتونید از برپ سوییت استفاده کنید: فازینگ با برپ  البته این دو تا لینکی که دادم چند نمونه بود، Stok رو اگه بشناسید توی یوتوب، اون هم چند تا ویدیو فازینگ داره. 

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری