Basic Fuzzing Framework поможет выявить уязвимости29.05.2010 00:36

Basic Fuzzing Framework - это новый инструментарий, разработанный группой экстренного реагирования на проблемы компьютерной безопасности CERT. Разработан Basic Fuzzing Framework был для автоматизации процесса определения наличия уязвимостей в программном обеспечении. Состав пакета:

виртуальная машина на базе Linux;
набор perl-скриптов для проведения испытаний программ при попытке обработки различных наборов данных.

Код инструментария распространяется в рамках лицензии GPLv2. Суть работы инструментария сводиться к изучению реакции приложения при подаче на вход всевозможных комбинаций из специально сформированных некорректных или приближенных к реальным наборов данных. В случае наличия недоработок в программе, например, отсутствия должных проверок, в процессе испытания будет зафиксирован крах, ошибка или отклонение от штатного поведения. В дальнейшем проанализировав какой именно набор данных вызвал отклонение, исследователь может локализовать проблемный участок кода в программе. Образ виртуальной машины - это урезанная версия Debian, снабженная графической оболочкой на базе оконного менеджера Fluxbox, измененного в плане отключения функции установки фокуса на окно, что необходимо для организации работы во время тестирования в Basic Fuzzing Framework графических приложений. Для организации доступа к файлам вне виртуального окружения в состав интегрирован пакет VMware Tools. В состав включен набор для сборки программ, но утилита strip заменена на /bin/true для предотвращения очистки отладочной информации во время сборки программы.