Fuzzing的艺术-麦香.pdf

《Fuzzing的艺术-麦香.pdf》由会员分享，可在线阅读，更多相关《Fuzzing的艺术-麦香.pdf（30页珍藏版）》请在三个皮匠报告上搜索。

1、Fuzzing的艺术如何一天发现数百个漏洞Ne0(陈永恒):佐治亚理工学院在读博士，方向:系统/软件安全学术研究发表在S&P,Usenix Security,CCS,AsiaCCS，Google新一代fuzzing框架fuzztest的主要设计者和开发者之一zr33(钟锐):Palo Alto Networks Inc高级安全研究员，博士毕业于宾夕法尼亚州立大学多篇学术研究发表在S&P,Usenix Security,CCS,曾作为主要贡献者参与Pwn2Own等漏洞比赛麦香:抖音电商安全专家r3kapig核心成员，前ctfer，主要研究方向覆盖Web、区块链、IoT等。About US编译器/

2、解释器应用广泛1.网络浏览器2.数据库管理系统3.插件或扩展式软件4.办公软件或文档编辑器5.操作系统，虚拟机6.配置文件编排系统7.编译器/解释器攻击面-浏览器来源:zdi攻击面-数据库来源:github攻击面-插件来源:zjuns blog攻击面-优化错误产生不正确的逻辑来源:github什么是Fuzzing(模糊测试)自动化软件安全测试生成畸形样本进行测试对崩溃等异常情况进行监控系统稳健性测试生成样本进行高频运行对系统性能变化进行监控漏洞样本变异程序执行程序崩溃?种子否是新的反馈？是否基于变异的Fuzzing优点:利用反馈指导生成越来越好的样本缺点:破坏样本的结构性优点:生成符合特定结构

3、的样本缺点:缺少反馈，盲目生成基于生成的Fuzzing生成规则:(a|b)+1.aabb2.abb3.aaaa漏洞样本生成程序执行奔溃?否是Fuzz语言处理器的难点1.数量多，每种语言有自己的语法/语义2.对语法和语义都有比较高的要求目前主流方法及其优缺点通用型通用型(AFL,libfuzzer)通用性高，无需过多人工配置 样本语法,语义正确率低，无法有效进行深入测试特定型特定型(Fuzzilli,Squirrel)样本语义正确性高，深度测试 工程量大，对语言理解要求高PolyGlot:通用+高效前端:通用性把特定的语言样本转化成统一的表示形式(IR)后端:高效性使用通用的静态语义模型指导样本

4、变异用户输入:BNF+语义注释PolyGlot:前端IR语言生成分析用户提供的BNF语法和语义注释，自动生成相应的IR语言翻译器BNF+语义注释PolyGlot前端IR语言翻译器高级语言样本IR语言翻译器IR语言样本目标高级语言样本-IR语言样本转换将用户提供的高级语言样本转化为对应的IR语言样本语法变异语法变异:基于语法单元替换基于语法单元替换1:int a=1;2:if(a!=0)3:4:int d=123;5:return a+d;6:1:int a=1;2:if(a!=0)3:4:int k=w+123;5:return x+y;6:PolyGlot:后端语义修复语义修复:基于类型和作

5、用域的变量修复基于类型和作用域的变量修复1:int a=1;2:if(a!=0)3:4:int k=w+123;5:return x+y;6:语义错误:w,x,y 需要修复PolyGlot:后端语义修复语义修复:基于类型和作用域的变量修复基于类型和作用域的变量修复1:int a=1;2:if(a!=0)3:4:int k=FIXME+123;5:return FIXME+FIXME;6:语义错误:w,x,y 需要修复PolyGlot:后端语义修复语义修复:基于类型和作用域的变量修复基于类型和作用域的变量修复1.建立变量表建立变量表1:int a=1;2:if(a!=0)3:4:int k=FI

6、XME+123;5:return FIXME+FIXME;6:名字类型作用域aint2-6kint5-6变量表PolyGlot:后端语义修复语义修复:基于类型和作用域的变量修复基于类型和作用域的变量修复 2.生成表达式生成表达式1:int a=1;2:if(a!=0)3:4:int k=a+123;5:return FIXME+FIXME;6:名字类型作用域aint2-6kint5-6变量表PolyGlot:后端语义修复语义修复:基于类型和作用域的变量修复基于类型和作用域的变量修复 2.生成表达式生成表达式1:in