The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В CERT разработали открытый инструментарий для выявления уязвимостей

28.05.2010 16:24

Группа экстренного реагирования на проблемы компьютерной безопасности CERT представила инструментарий Basic Fuzzing Framework (BFF), предназначенный для автоматизации процесса определения наличия уязвимостей в программном обеспечении. В состав пакета входит виртуальная машина на базе Linux и набор perl-скриптов для проведения испытаний программ при попытке обработки различных наборов данных. Код инструментария распространяется в рамках лицензии GPLv2.

Суть реализованного метода сводится к изучению реакции приложения при подаче на вход всевозможных комбинаций из специально сформированных некорректных или приближенных к реальным наборов данных. В случае наличия недоработок в программе, например, отсутствия должных проверок, в процессе испытания будет зафиксирован крах, ошибка или отклонение от штатного поведения. В дальнейшем проанализировав какой именно набор данных вызвал отклонение, исследователь может локализовать проблемный участок кода в программе.

Образ виртуальной машины представляет собой урезанную версию Debian, снабженную графической оболочкой на базе оконного менеджера Fluxbox, измененного в плане отключения функции установки фокуса на окно, что необходимо для организации работы во время тестирования в Basic Fuzzing Framework графических приложений. Для организации доступа к файлам вне виртуального окружения в состав интегрирован пакет VMware Tools. В состав включен набор для сборки программ, но утилита strip заменена на /bin/true для предотвращения очистки отладочной информации во время сборки программы.

В качестве программы для перебора вариантов использовано приложение zzuf, с использованием которого осуществляется накопление данных из stderr-потока, анализа памяти с использованием valgrind и сохранение обратной трассировки в случае краха (gdb backtrace). В скрипте предусмотрена функция автоматического выявления повторяющихся причин краха при обработке разных данных, которая реализована через анализ обратных трассировок.

Настройка параметров проверки производится через файл конфигурации zzuf.cfg. По умолчанию, в качестве примера, настройки оформлены для проверки пакета ImageMagick, но их несложно адаптировать по аналогии для проверки любого другого приложения. Включенная в поставку в демонстрационных целях версия ImageMagic 5.2.0 имеет проблемы, которые выявляются при определенном стечении входных данных при их попытке конвертирования утилитой convert.

  1. Главная ссылка к новости (http://threatpost.com/en_us/bl...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/26767-security
Ключевые слова: security, fuzz
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (5) RSS
  • 1.2, letsmac (?), 21:12, 28/05/2010 [ответить]  
  • +/
    Открытый тестовый пакет это ужасно нужно. Rational Rose слишком дорогое удовольствие.  
     
     
  • 2.5, аноним (?), 00:25, 29/05/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Каким боком сюда эта бесполезная поделка?
     

  • 1.4, hhg (ok), 23:51, 28/05/2010 [ответить]  
  • +/
    они ещё месяц назад этот набор инструментов выложили. а теперь - практически в качестве виртуальной машины/liveCD для тех, кто невоспринял предыдущую инкарнацию инструментов.
     
  • 1.6, XoRe (ok), 14:54, 29/05/2010 [ответить]  
  • +/
    Как напоминание разработчикам "проверяйте все входные данные".
     
     
  • 2.7, pavlinux (ok), 01:05, 30/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ...и не забывайте про стандартизацию выходных.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру