国外最受欢迎的9大Fuzzer工具

admin
admin
admin
136437
文章
111
评论
2023年6月22日04:12:56评论106 views字数 2041阅读6分48秒阅读模式

国外最受欢迎的9大Fuzzer工具

国外安全网站,整理的一份有关Fuzzer工具,分享一下给大家。这也是渗透测试工具包的一部分内容,希望为这方面的爱好者提供一些参考!

#1 – LibFuzzer

创建者LLVM 项目

工具优势 LibFuzzer 提供用户覆盖率引导的模糊测试,并为地址清理器提供即时支持。请务必注意,LibFuzzer 需要集成到应用程序或库中才能正常工作。如果您开箱即用地执行黑盒测试,LibFuzzer 将不会成为这项工作的模糊器。CVE-2017-3732,是使用 LibFuzzer 发现的。

#2 – American Fuzzy Lop(AFL、AFL++)

创作者: Michał Zalewski ( @lcamtuf )

工具优势: AFL 是另一个经典的模糊器——我们不能不包括这个流行的工具。它已被用于识别许多众所周知的安全漏洞;您可以在此处查看完整列表根据创建者 Michal Zalewski 的说法,这款模糊器是专门为实用工具而设计的,其易用性与其受欢迎程度直接相关。

#3 – honggfuzz

创建者:谷歌

工具优势:虽然与 AFL 有点相似,但由于其速度、功能和多功能性,该模糊器仍然值得探索。它的简历令人印象深刻;正如谷歌所说,“OpenSSL 中唯一(迄今为止)具有临界分数标记的漏洞是由 honggfuzz 发现的。”

#4 – 胡说八道

创作者:约书亚佩雷达

工具优势: Boofuzz 的构建有一个目标,那就是“模糊一切”。它是 Sully 模糊测试框架的后代,但 boofuzz 被设计为 Sully 的新改进版本(实际上可能会认出 Sully 和 Boo 是迪士尼电影“怪物公司”中的角色)。增强功能包括更容易安装经验,更少的错误,更好地记录测试数据。

#5 – FFUF

创建者:fuf

工具优势: FFUF 的优势在于其“极快的速度”。虽然它只能进行 Web 模糊测试,但如果需要一个快速运行的模糊器,那么这个工具就是不二之选!另外,有趣的是:FFUF 代表“fuzz faster you fool”。

#6 – ToothPicker

创建者:安全移动网络实验室

工具优势: ToothPicker 是一款专为模糊测试 iOS 环境而设计的模糊器。该模糊器的创建者成功地使用它来检测 iOS 中的零点击 RCE 错误(已在 iOS 13.5 中修复)。仅此一点就说明了其实力。此外,可以调整 ToothPicker 以针对任何运行 FRIDA 的平台。

#7 – afl-独角兽

创作者:内森·沃斯/巴特尔

工具优势:简而言之,这个模糊器是 AFL 的“独角兽模式”。这个模糊器需要通过Unicorn Engine模拟你的代码,这是一个多平台、多架构的 CPU 模拟器框架。如果可以使用 Unicorn Engine 模拟代码,则可以使用 afl-unicorn 对其进行模糊测试。正如创作者 Nathan Voss 在“afl-unicorn 第 2 部分:Fuzzing the Unfuzzable”中所写, “Afl-unicorn 弥合了完全手动研究(即阅读反汇编/源代码)的彻底性和 AFL 无与伦比的易用性之间的差距。”

#8 – Atheris

创建者:谷歌

工具优势:它不是唯一以 Python 为中心的模糊测试器( 例如,请参阅PythonFuzz ),但这种覆盖率引导的 Python 模糊测试引擎是可用的更强大的引擎之一。谷歌建议在对本机代码进行模糊测试时,将 Atheris 与 Address Sanitizer 或 Undefined Behavior Sanitizer 结合使用,以检测其他安全问题。

#9 – CI Fuzz

创建者:代码智能

工具优势:用另一个强大的模糊器来结束它是合适的。CI Fuzz 拥有融合最佳测试方法动态应用程序安全测试 (DAST)、静态应用程序安全测试 (SAST) 和交互式应用程序安全测试 (IAST) 的能力。据称,这使 CI Fuzz 成为发现根深蒂固的漏洞并减少过程中误报的有效方法。但是不要只相信他们的话;看看这个用 CI Fuzz 发现的令人印象深刻的 CVE 列表(注意:这个模糊器实际上是付费产品。)

更多模糊测试资源


  • Matt Keeley(Bishop Fox)撰写的“了解软件开发中的模糊测试”——2022 年 1 月,Matt Keeley 在 Bishop Fox 技术网络广播系列 Tool Talks 中做了关于模糊测试的演讲。你可以
  • 点播视频
  • 阅读幻灯片
  • “模糊测试简介(又名模糊测试)”,作者 Matt Keeley(Bishop Fox) ——但在介绍工具讲座之前,Keeley 撰写了这篇博客文章,提供了全面的模糊测试速成课程。
  • secfigo 的“Awesome Fuzzing” ——这是一本关于模糊测试的书籍、博客文章、工具、视频、课程、应用程序等的汇编。它确实是所有模糊测试的一站式商店。
  • “Fuzzing for Beginners(KUGG 教 STÖK American Fuzzy Lop)” ——该视频展示了瑞典黑客 STÖK 学习如何使用 American Fuzzy Lop/AFL 的第一手资料,这是我们上面列表中的第二个工具!

原文始发于微信公众号(祺印说信安):国外最受欢迎的9大Fuzzer工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月22日04:12:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   国外最受欢迎的9大Fuzzer工具https://cn-sec.com/archives/1826719.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息