問題タブ [fuzzing]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
networking - ネットワーク プロトコル ファジングのフレームワーク?
ネットワークレベルのパケットファジングを実行するためのプログラマフレンドリーな(つまり拡張可能な)フレームワークまたはシステムを推奨できる人はいますか?
私は、追加のパケット形式でプログラムし、プロトコルに依存する方法でそれらのパケットを分割するさまざまな方法をプログラムできるようなシステムを探しています。
私はグーグルする方法を知っています。私は具体的な推奨事項を探しています:)
ありがとう!
java - 優れた API を備えた Java ファジング ライブラリまたはファザー ツールを探している
Java用のファザーライブラリはありますか?
既存の Java Web ベースの自動統合テストにファジング機能を追加したいと考えています。私は多くの検索を行ってきましたが、HTTP/S をサポートするライブラリを探しています。Python ツールはたくさんありますが、プログラマーが使用しているものなので、Java にこだわりたいと思います。
JBroFuzzは基本的に私が必要とするファジング機能を備えていますが、API が必要ですが、まだ API をリリースしていません。
php - コードの脆弱性をスキャン/ファジングするにはどうすればよいですか?
アプリをファジングしたり、脆弱性をスキャンしたりする自動化された方法を探しています。私のハッキングの知識は 0 であると仮定してください。また、ソースはローカルホストにあるため、インターネット接続に依存せずにローカルでファジングする方法が必要です。セキュリティの専門家からヒントや推奨事項を教えてもらえますか? どのオプションが最適かわかりません。
編集:
答えてくれてありがとう。私はより具体的になりたいと思いますが(質問に役立つため)、意見に影響を与えたり、特定の製品を宣伝しているように聞こえたりすることはありません. 私はwapitiのようなものを探しています(名前を言うのは申し訳ありませんが、SQL インジェクションについて学ぶ、xss などのこれまでの回答は、明らかにこの質問に対する本当の「専門家」の回答ではないため、名前を言及する必要がありました。私はすでにこれらについて知っています (真剣に) 、この質問は、セキュリティについてソルトを知らない人が尋ねるように聞こえますか? )
私はテストすべきかどうかを尋ねているのではなく、どのようにテストすべきかを尋ねています。私はすでに自動化を組み込むことを決定しました (そして、誰かが役に立たないことを証明する専門家の回答をくれない限り、この決定を後戻りすることはできません) ので、自動化したいという私の決定を尊重してください. コンパイルされたすべての xss、sql インジェクションなどのハック リストを調べて、自分のサイトに対して自分で手動で試したくはありません (ハッカーでさえそのようにハッキングしません)。質問を受けた人へのスーパー余分なポイント。
一部の人々は、なぜ学ぶだけではないのかと尋ねています。 (私が知っている) ベスト プラクティスは、ハッキングを知っていることと同じではありません。フリップコインだと主張したい人もいますが、私は絶対に同意しません:)したがって、「ハッカーの考え方」を持つ誰かによる保護ツールが必要です. 実際、あなたも試してみるべきです;)知っている人からの専門家の回答をお願いします.
networking - ネットワークまたはトランスポート層のファジング
特に第 3 層と第 4 層 (ネットワークとトランスポート) で、ネットワーク スタックに負荷をかけるためにファジング戦略を実行するにはどうすればよいですか? SPIKE などのファザーを生成するためのフレームワークを見てきましたが、それらは主にアプリケーション層以上に焦点を当てているように思えますか? TCP など、これらの層でよく知られているプロトコルをファジングするためのよく知られた手法はありますか?
ありがとう。
javascript - JavaScript のランダム オブジェクト ジェネレーター
さまざまなフィールドと値を持つさまざまなオブジェクトを生成する JavaScript のランダム オブジェクト ジェネレーターが必要です。そのようなツールを見つけることができるアイデアはありますか?
さまざまな複雑さを持つランダム オブジェクトを生成する必要があります。私の目標は、JSON を使用してこれらのオブジェクトをシリアル化し、アプリケーションの http API をファズ テストすることです。
testing - BNF 文法を自動的に悪用するテスト ケースの生成
BNF文法が与えられた場合、それをランダムに(しかしインテリジェントに)調整し、BNFをすり抜けるケースを検出するために使用する出力ストリームを生成するツールまたは手法があるかどうか疑問に思っています(しかしすべきではありません)。
編集:パーサーのファズテスト、つまり。
ありがとう
parsing - 指定された ANTLR 文法が一致する文字列を生成するユーティリティはありますか?
私は ANTLR 文法を持っており、パーサーをファジングしたいと考えています。
python - ファジング lib の使用 (python)
私はこのライブラリを使用しようとしています: http://pastebin.com/xgPXpGtw (使用例: http://pastebin.com/fNFAW3Fh ) すべてのバイトを配列に分割したくないので、いくつかの問題があります彼がするように。
私のテストスクリプトは次のようになります。
そして実際に戻ります:
では、テストパラメータでその関数を使用できるようにするにはどうすればよいですか?
ありがとう !
ruby - Ruby: すべての Unicode 文字のファジング (UTF8/エンコーディング/文字列操作)
Unicode 文字の全範囲を繰り返すことはできません。
あちこち探した...
私はファザーを構築していて、すべての Unicode 文字 (一度に 1 つずつ) を URL に埋め込みたいと考えています。
例えば:
http://www.example.com?a=\uff1c
いくつかの組み込みツールがあることは知っていますが、もっと柔軟性が必要です。
次のようなことができれば、"\u" + "ff1c"それは素晴らしいことです。
これは私が得た最も近いものです:
ただし、数字の 9 である文字の後に"\u0039"は、「:」ではなく「10」が表示されます。
delphi - Delphi Win32 VCL はファズ テストされていますか?
Delphi Win32 VCL がファズ テストされたことはありますか?