در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

Fuzzing در دنياي امنيت به چه مفهوم است؟

سلام به دوستان عزيز ITPro اي و علاقه مندان به مباحث امنيت شبكه. اگر جز كساني هستيد كه به تازگي قصد ورود به دنياي تست نفوذ، آنهم بصورت عملي را دارید، بي شك دير يا زود به اين مفهوم برخواهيد خورد كه درك آن لازمه ادامه مسير خواهد بود.

Fuzz Testing يا به اصطلاح Fuzzing، در واقع يك تكنيك تست نرم افزار است كه براي پيدا كردن خطاهاي coding و حفره هاي امنيتي در نرم افزار، سيستم هاي عامل يا شبكه هايي با ورودي عظيمي از داده هاي تصادفي مورد استفاده قرار ميگيرد. اين فرايند كه به Fuzz معروف است با هدف اختلال در سيستم نرم افزار در نتيجه اجراي آن صورت ميپذيرد. اگر آسيب پذيري اي پيدا شد، ابزاري به نام Fuzz Tester ( يا Fuzzer) علل بالقوه اين آسيب پذيري را نشان ميدهد. اين تكنيك براي اولين بار توسط Barton Miller در دانشگاه Wisconsin و در سال 1989 توسعه داده شده است.

Fuzzing در دنياي امنيت به چه مفهوم است؟

Fuzzer ها در مورد مشكلاتي كه سبب Crash كردن يك برنامه ميشوند، بسيار خوب عمل ميكنند. از نمونه هاي اين مشكلات ميتوان به Buffer overflow، Cross site scripting، حملات Denial of Service، باگ هاي ساختاري و SQL Injection نام برد. اين نمونه حملات غالبا توسط هكرهايي صورت ميپذيرد كه به قصد انتقام و در كمترين زمان ميخواهند بزرگترين ضربه را به هدف مورد نظر بزنند. Fuzz Testing با تهديدات امنيتي كه سبب Crash برنامه نميشوند، چندان ارتباط و تاثير خاصي ندارد. از اين دست تهديدات ميتوان به برنامه هاي جاسوسي (Spyware)، برخي ويروس ها، كرم ها (Worms)، تروجان ها و Keylogger ها اشاره نمود.

Fuzzing در دنياي امنيت به چه مفهوم است؟

انجام Fuzz testing ساده است و به نسبت هزينه كمي كه براي شما دارد، بالاترين قابليت را به شما ارائه ميدهد. اين تست انگشت اشاره خود را روي نقص هايي ميگذارد كه در هنگام نوشتن برنامه و اشكال زدايي آن از آن چشم پوشي شده و يا ديده نشده است. به همين علت است كه نتايجي را كه اين تست نشان ميدهد، غالبا خطاهاي جدي در برنامه هستند. با اين حال Fuzz Testing به تنهايي نميتواند تصوير كاملي از امنيت، كيفيت يا تاثير يك برنامه در موقعيت يا اپليكيشن خاصي را ارائه دهد. Fuzzer ها بيشترين كارايي خود را زماني دارند كه در رابطه با تست هاي Black Box، بتا يا ديگر شيوه هاي شناخته شده اشكال زدايي (از برنامه) استفاده شوند.

خوب دوستان اميدوارم تا اينجا توانسته باشم ديد نسبي از مفهوم Fuzzing را به شما ارائه داده باشم. در آينده حرف هاي بيشتري از اين مفهوم و اجراي آن خواهيم زد.

سربلند و مانا باشید.

نویسنده: احسان امجدی

منبع: انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#fuzz_testing_چیست؟ #آموزش_امنیت_اطلاعات #ّfuzzing_به_چه_مفهومی_است؟ #آموزش_امنیت_شبکه #debugging_برنامه
6 نظر
میلاد اسحاقی

چه عکس جالبی داره !! داره از اونور مانیتور میزنه بیرون D:

احسان امجدی

این عکس دقیقا به این جمله متن اشاره داره که امیدوارم همه پی به این رابطه ببرند:

" اين تست انگشت اشاره خود را روي نقص هايي ميگذارد كه در هنگام نوشتن برنامه و اشكال زدايي آن از آن چشم پوشي شده و يا ديده نشده است"

:)

محمد هادی

با سلام و خسته نباشید

مطالب درباره امنیت توی سایت زیاده، امکانش هست راهنمایی کنید برای کسی که بخواد وارد حوزه امنیت بشه از کدوم مقاله یا آموزش توی سایت باید شروع کنه.

با تشکر

احسان امجدی

هادی جان ورود به حوزه امنیت از دوره CEH و مفاهیم مربوط به اون شروع میشه. در این مورد مطالب توی سایت زیاد هست که کم کم داریم همه رو بصورت جامع آماده میکنیم. در زیر اسم ماژول های این دوره رو برات میذارم که بترتیب با جستجوی اسم هر ماژول در سایت میتونی مطالب مربوط به اون رو پیدا کنی.

وب سایت توسینسو

مطالب مربوط به هر ماژول رو که دوستان مختلف زحمتشو کشیدند، میتونی مستقلا در بخش جستجوی خود سایت پیدا کنی و یا این که به این صورت هم میتونی مطالب مربوط رو از طریق جستجوی موتور های جستجو در سایت پیدا کنی:

مثلا دنبال مطالب مربوط به SQL Injection میگردم.... در کادر جستجوی مثلا گوگل وارد میکنم:

SQL Injection site:tosinso.com

کتاب های فارسی در زمینه CEH هم وجود دارند که هرچند کل دوره رو توضیح دادند اما خیلی مختصر و سطحی و در واقع فقط در حد یک معرفی ساده دوره رو بیان کردند. پیشنهاد میکنم این دوره رو بصورت فصل به فصل بخونی.

محمد هادی

ممنون از راهنماییتون

محمدرضا سرفراز

سلام واقعا مطلب جالبی بود

میخواستم بپرسم میتونید چند ابزار برای fuzzing test پیشنهاد بدید؟

ممنون

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....