DIE：基于保留属性变异的JavaScript浏览器引擎模糊测试工具｜工具分析

在当前整个计算机网络环境中，web浏览器是应用最广泛的软件之一，针对浏览器发起的攻击层出不穷。近年来，浏览器安全事件频发，给人们带来严重的损失。而Fuzzing的自动化属性以及其表现出的强大性能使得其能高效应用于浏览器漏洞发现领域。目前针对于浏览器的fuzz技术主要分为两个类别：基于生成的和基于变异的模糊测试技术。

基于生成的模糊测试技术是最早应用于浏览器模糊测试的技术。它主要是通过手工构建或者是尝试使用一些自动化方法，像上下文无关语法、深度学习的方法构建语法库模板，以此来生成测试用例。该类方法虽然能够使得生成的测试用例具有较高的语法正确性，但一方面语法库的构建成本较高，另一方面该方法很难产生能过够触及深层代码漏洞的复杂输入。

基于变异的方法，在初始阶段主要是采用一种随机变异的方法来根据现有输入变异生成一些子代码片段，以此组合来生成新的测试用例。但是由于浏览器解析测试代码时对代码的语法和语义上下文极其敏感，因而逐渐衍生出语法感知和语义感知突变技术。目前这两类技术的研究重点主要在于对浏览器的JavaScript引擎的模糊测试，基础思想都是首先将JS代码转换为语法树AST，再在语法树上进行相关变异操作。

本文所介绍的工具DIE就是一种使用语法和语义突变技术对JavaScript引擎进行模糊测试的工具。同时，该工具的特点在于：在变异过程中，会保留原始种子输入的有利性质和条件。这些希望保留的优选属性称为aspect。同时对其他部分进行变异，以便可以发现类似的或新的错误。

DIE设计保留属性变异的前提在于，它认为当一个POC能造成漏洞时，与POC具有相同的结构输入就有很大可能造成新的漏洞，并且通过在原有POC基础上进行保留变异，生成的新的代码就可以在原有的基础上进入更深层次的代码片段，具有更高的质量。

下图所示为两个相似漏洞的实例。首先这两个代码共有的前提条件有：①循环调用opt()函数，以此来启用JIT;②中都用不同的参数再次调用opt()函数；③则是定义了opt()函数内部的访问顺序。对比这两个POC，可以看到如果(a)被作为输入语料库，我们需要保留①-③中的某些属性，再添加④就可以发现新的漏洞。

DIE工具是在AFL的基础上构建的。主要变化是在AFL的基础上引入预处理阶段，并将AFL传统变异更改为在语法树上进行相关属性的保留变异。如下图所示为DIE工具的架构设计，主要分为3个模块：预处理、种子变异和fuzz执行。

首先①DIE预处理所有原始种子文件，通过动态静态分析构建各种子文件所对应的类型化AST。②在fuzz的主循环中选择一个语料库中的测试用例及其类型AST。③DIE通过修改插入新节点变异类型AST，在该过程中保持其类型和结构信息。④将变异后的类型AST转换回JavaScript文件和执行fuzz。⑤DIE记录运行时覆盖反馈信息决定新文件将被保存。并且记录运行时产生的崩溃信息。

类型AST是在传统AST的基础上，为每个AST节点拓展出其类型和相关绑定信息。

类型AST的基本构建过程如下：首先DIE会调用babel工具中的各种api接口将JS代码解析为传统的AST，然后DIE会在引用标识符（即变量名、函数名等）的语句前对种子文件进行插桩，插桩代码会跳转到一个类型解析函数，解析得到标识符的类型。如下图所示。

项目运行的初始预料来源于已设定的种子库中，里面存储了针对于常见的四个JS引擎（ChakraCore/jsc/v8/

firefox）常见的一些POC文件。运行命令如下所示：

DIE在具体实现过程中主要借助于babel工具中的各种api将JS代码转换为AST，并在AST上实现遍历和修改操作。

（1）首先依赖@babel/parser将JS解析为AST；要实现类型化AST，我们只需在原始Node结构中引入一个新的字段，该字段存储推断的类型，如下图所示。

该部分代码位于DIE/fuzz/TS/base/estestcase.ts，主要包括了对测试用例结构的相关声明和变异、插入策略的实现。

（1）预变异premutate()

整体思想为调用this.nodes.set(path.node, number)结构判断是否对节点进行变异。当number数值为0时意味着跳过该结点跳过变异，当为-1时意味着它的子节点也会跳过变异。同时会对一些结点的变异类型设置一些倾向，具体变异倾向的类型详情可见代码DIE/fuzz/TS/base/espreferrnces.ts。以下为针对于各类型的结点的预变异处理：

1）当类型为函数时，不会变异整体函数且对所有函数的参数列表不变异；

3）当是全局的函数调用，像main()不进行变异；   

4）当是标记语句（case 1:等）、break语句不进行变异；     

5）当是catch(e)语句时不对里面的异常e进行变异；   

6）当是类或者结构体这种时，不对键值key进行变异；

7）当是函数调用表达式时，像a.b(c)，倾向于这个结点变异为complexPreference：数组或新表达式、变量、标记符、或者ObjectLike类型。

8）当是赋值表达式时，左边参数变异的倾向是数组表达式、新的表达式、标志符等；

9）当是赋值匹配时，不对其和左边表达式进行变异；

10）当是更新表达式，像a++，变异的倾向是：数组或新表达式、标记符、内建程序；

11）当是for ..in 或者for...of结构时，不对其变异；

12）当函数参数是rest参数时，变异时这个结构本身不变，它的名称可以进行变异。

（2）预插入preInsert()

如果结点类型 是程序主体或者是代码块语句{}时，则将该结点，及其路径的body字段内容成对进行存储；其中存储的数组定义为：bodies: Array<pair<nodepath, array>>;

（3）预访问preVisit()

按照路径对其进行遍历，并进行预变异和预插入的过程；

（4）变异mutate()：

首先将节点存储至位图，然后随机设置变异次数，变异次数的范围在this.MUTATE_MIN范围内。然后在变异次数范围内，随机选取位图内的结点，调用函数MUTATOR.mutate()进行变异。然后调用函数applyChange()应用变异得到的改变，具体操作是用新结点替换旧结点或者是新的操作符替换旧的操作符。

1）变异函数MUTATOR.mutate()：位于DIE/fuzz/Ts/

base/esmutator.ts

首先设置变异改变类型：0表示对结点进行变异；1表示对操作符进行变异，并设置新、旧节点两个参数。针对于不同类型的结点的变异策略如下：

具体实现函数为mutateExpOp函数，其位于DIE/fuzz/TS/base/engine/exp.ts中，主要包括对二进制、逻辑、更新和一元运算这四类表达式的变异操作，具体操作思想为：修改替换表达式中的操作符。

  ①二进制表达式：

代码中定义了二进制表达式的3类操作符，如下图所示：

②逻辑表达式：如果操作符为“&&”，则更改为“||”，否则新操作符为“&&”；

③一元表达式：原操作符为“+”,新操作符变异为“-”;原操作符为“-”则变为“+”；

④更新表达式：如果原操作符为“++”，则更改为“--”，否则替换后的新操作符为“++”；

build()函数基本思想如下所示：

①DIE中生成新的语句主要是指生成以下四类语句：生成Objbased语句、生成新的变量声明语句、生成构造器语句、生成原型对象prototype语句。然后这四种语句对应编码为0，1，2，3。并将这四个数按照一定的个数占比存储至weights中。然后从weights中随机选取值来生成对应编码类型的语句。如下图代码所示，可以看出生成Objbased语句占比更多。

②genObjBasedStmt()：根据结点的类型，选择生成相对应类型的语句。如下图代码所示主要包括以下类型。各类型语句的构建函数在这里不做过多详细介绍，可在代码中索引进行查看。

③genNewVar()：构建新的变量声明语句，该部分功能主要依赖于@babel/types中的变量构建函数实现；

④genConstructorStmt()：构造内置函数调用语句，与genObjBasedStmt()中的内置函数构建类似；

⑤genProtoTypeStmt()：暂时不生成该类语句。

（5）插入insert()：

插入所需要的语句其生成同上述变异中statement的生成相同。插入的基本思想是不在reutrn语句后面插入；如果是结点是程序体program，则在program下的body字段前插入语句。如果是结点是块代码语句，在块代码段内部开头插入语句。实现过程如下图代码所示：

DIE用自己的突变引擎取代了AFL的二进制输入突变器。在代码中具体表现为：在afl-fuzz.c中，将主循环中的函数fuzz_one()替换为自定义的fuzz_js()函数。

（1）fuzz_js()函数首先调用自定义的generate_js函数，该函数的作用是：生成经过变异或者插入操作的测试用例，生成的测试用例存储至fuzz_input_dir中。

（2）然后fuzz_js函数调用自定义的fuzz_dir函数。fuzz_dir函数的基本流程是按顺序遍历fuzz_input_dir种子文件，再调用AFL原生函数common_fuzz_stuff()执行fuzz过程。