基于模糊测试的分布式数据库安全研究(一)——模糊测试背景知识

最新推荐文章于 2024-11-08 12:38:39 发布
最新推荐文章于 2024-11-08 12:38:39 发布
阅读量1.4k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 模糊测试 文章标签: 安全漏洞 软件测试 分布式存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42745625/article/details/109137424

文章目录

前言

模糊测试是当今主流的软件系统的安全性测试技术,通过模糊测试能挖掘出软件所存在的漏洞和攻击面,便于人发人员对软件系统进行良好的维护。
希望做这个课题的同时记录自己的学习历程,与各位共同进步~
本篇文章主要对模糊测试的背景知识做简要总结。

一、白盒测试

白盒测试是指从软件系统的内部进行测试,该方法是对源代码进行剖析,从而查找软件当前所存在的漏洞。它需要测试人员获取到全部源代码,从而清晰地了解软件的实现结构、对所有资源进行充分地访问,如软件的完整源代码、设计规约,甚至软件开发者本人。

1.白盒测试优点

(1)覆盖能力强:由于白盒测试能获取到所有的源代码,因此代码评审时能完整覆盖整个软件系统,所有可能的执行路径都能被查询到,以发现潜在的安全隐患(如栈溢出等)。

2.白盒测试缺点

(1)复杂性高:重要的软件项目包含的源代码可能有数万行,如果采用白盒测试的方式来查询软件的潜在隐患,需要大量的时间成本。

(2)可用性低:不能获取全部源代码时,则无法进行测试。这种情况普遍存在于商业软件。

二、黑盒测试

黑盒测试是从软件系统的外部进行观察。作为用户终端,我们只能控制每一次的输入,获取每次程序执行完毕时的输出,通过观察输出结果、比较输出与预期之间的差距,来进行测试。黑盒测试的典型特点是不知道软件的内部实现,且看不到每次输入后数据的处理过程。

1.黑盒测试优点

(1)可用性和可重现性高:黑盒测试在所有情况下都是可用的,并且每次黑盒测试的时候不需要提前

最低0.47元/天 解锁文章

200万优质内容无限畅学
基于模糊测试的分布式数据库安全研究()——第次Fuzzing
qq_42745625的博客
10-27 1321
前言 开始第次Fuzzing啦。 、AFL环境的配置 本次实践中,我们是采用AFL进行的。AFL全称为American Fuzzy Lop,它已经成为现在的主流模糊测试工具之,它是利用插桩技术来进行路径覆盖的,下次代码再执行到此处时,会识别出上次插的桩,从而判断来过。(因为是第次接触整个模糊测试技术,个人对AFL的原理理解也很浅薄,原理部分以后再进行分享。) 1.准备Linux系统 我采用的时VMware12安装的虚拟机,在虚拟机上安装Ubuntu16的Linux系统,对Linux系统的核心和内存分
基于模糊测试的分布式数据库安全研究()——afl-cmin、afl-tmin
qq_42745625的博客
11-01 1389
前言 本次主要解决上次的问题三。为了引入更好的测试用例进行模糊测试,afl提供了两个工具afl-cmin、afl-tmin来进行语料库蒸馏。本文将对这两个工具进行介绍。 、构建语料库 我们需要先构建个该项目测试所需的语料库 第个testcase里面放的是我自己瞎写的个字符串, 把它多复制几份,每份都对里面进行些修改,这7个测试样例就构成了我们本次实验的“语料库”了。 AFL功能纵使强大,也需要个高效的执行速度。如果是普通的语料库作为测试用例,会出现很多无意义的测试,例如多个测试用例执行了同样的代
数据库查询模糊匹配
热门推荐
bacole的博客
04-10 2万+
执行数据库查询时,有完整查询和模糊查询之分。般模糊语句格式如下:SELECT 字段 FROM 表 WHERE 某字段 LIKE 条件; 其中,关于条件,SQL提供了四种匹配模式:%:表示零个或多个字符。可以匹配任意类型和任意长度的字符,有些情况下若是中文,请使用两个百分号(%%)表示。select * from flow_user where username like '%王%'; 将会把flo
完成GitHub上squirrel 的运行(数据库的模糊测试)
github_53542847的博客
03-19 3195
文章目录、squirrel的介绍squirrel链接建议下载Ubuntu 18.04编译安装clang/llvm将squirrel的文件下载到Ubuntu上下载dockerDockerfile创建镜像如何插入段漂亮的代码片生成个适合你的列表创建个表格设定内容居中、居左、居右SmartyPants创建个自定义列表如何创建个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 、squirrel的介绍 用虚拟机完成数据库的模糊测
disfuzz-afl:分布式模糊测试
04-28
分布式模糊测试 这个项目是个快速而又非常肮脏的尝试(在几个晚上完成),将我无法控制的许多机器的计算能力与强大的工具“ afl”结合在起。 它由提供项目以进行模糊测试的服务器和运行在下载1个或多个项目(取决于CPU内核数量),下载队列并开始进行模糊测试的计算机上的客户端上运行。 新生成的测试用例被上载到队列以与其他客户端同步,并且崩溃和挂起(在重复数据删除之后)也被上载,因此可以对其进行手动分析。 客户还将定期检查项目是否被修改。 检测到更新后,它将升级并重新启动项目。 客户端本身尚未(尚未)自我更新。 服务器能够毫无问题地支持数十个客户端,但是如果队列很大,同步算法将成为瓶颈。 (当前)不缓存队列和其他文件夹的哈希值的计算。 警告:仅与(半)受信任的客户端起使用,并且永远不要连接到不受信任的服务器。 客户端将从服务器下载并运行任意可执行代码,而没有任何事情可以阻止客户端向实际利用
探索未来的边界:Hopper 分布式模糊测试框架
gitblog_00045的博客
06-25 397
探索未来的边界:Hopper 分布式模糊测试框架 项目介绍 Hopper 是款灵感源自 afl++ 的分布式模糊测试(Fuzzing)工具,旨在提高大规模分布式环境下的性能。虽然它并不打算在大多数情况下取代 afl++,但对于那些寻求更高效能和大规模部署的开发者来说,Hopper 绝对值得关注。 项目技术分析 Hopper 设计了套智能的工作流程,包括个主控(Master)节点和多个工作节点...
模糊测试--强制性安全漏洞发掘
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
网络安全渗透测试——名词解释
weixin_43778463的博客
10-12 3932
常用术语解释
学术报告——模糊测试
QIQIANDKEKE的博客
09-14 1167
2020年7月31日,实验室2020年暑期年会如期举办。因疫情原因,本次年会通过腾讯会议线上召开,并采用bilibili直播。在上午的前瞻报告部分,文明副教授作了题为“模糊测试技术前沿进展报告”的报告。模糊测试是软件测试技术,其核心思想是将自动或半自动生成的随机数据输入到个程序中,并监视程序异常,如崩溃,断言失败,以发现可能的程序错误,比如内存泄漏。模糊测试已经被广泛运用于检测软件或计算机系统的安全漏洞。该报告分别从模糊测试的研究背景、模糊测试引擎与研究进展、以及模糊测试发展方向与难点进...
模糊测试
硝烟过客
08-10 2339
模糊测试是种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。实现流程: 1. 确定测试的目标 2. 确定输入的向量 3. 生成模糊测试数据 4. 执行模糊测试数据 5. 监视异常 6. 判断发现是否有漏洞可以被利用模糊测试般分为两大类: 1. 本地模糊测试 应用于本地系统或者托管的目标系统上,比如命令行模糊测试、文件格式
Nightmare 分布式模糊测试套件项目推荐
最新发布
gitblog_00427的博客
11-08 427
Nightmare 分布式模糊测试套件项目推荐 项目基础介绍和主要编程语言 Nightmare 是个开源的分布式模糊测试套件,旨在通过网络管理进行高效的模糊测试。该项目主要使用 Python 语言进行开发,同时也涉及少量的 HTML、C、CSS、C++ 和 Makefile 等语言。 项目核心功能 Nightmare 的核心功能包括: 分布式模糊测试:支持在多个节点上进行分布式模糊测试,提高测...
聊聊模糊测试,以及几种模糊测试工具的介绍!
11-16 1706
在当今的数字环境中,漏洞成为攻击者利用系统漏洞的通道,对网络安全构成重大威胁。这些漏洞可能存在于硬件、软件、协议实施或系统安全策略中,允许未经授权的访问并破坏系统的完整性。根据 "常见漏洞与暴露"(Common Vulnerabilities and Exposures,CVE)的跟踪,漏洞披露的激增令人震惊......就连。
2024年软件测试最全聊聊模糊测试,以及几种模糊测试工具的介绍!,这些知识你必须拿下
2401_84790759的博客
05-09 1126
通常采用的模糊处理方法是为每种数据类型定义组 "已知危险值 "或模糊向量,然后注入或组合这些值。模糊测试包括几种主要类型,分别针对被测软件的不同方面,即和模糊测试。侧重于被测系统的输入和输出。对于桌面应用程序,这包括测试各个方面,例如另方面,协议模糊涉及向被测应用发送篡改或伪造的数据包。在某些情况下,模糊器可能充当代理,在重放请求之前实时更改请求。这种方法旨在发现网络协议及其实现中的漏洞。最后,用于评估应用程序如何处理不同的文件格式。它生成多个畸形样本并依次打开。
【网安专题10.25】10 TitanFuzz完全自动化执行基于变异的模糊测试:生成式(如Codex)生成种子程序,逐步提示工程+第个应用LLM填充模型(如InCoder)+差分测试
定期分享我的发现和想法,感谢你的陪伴和支持
11-08 7287
TitanFuzz:第个应用填充模型(例如InCoder)直接执行基于变异的模糊测试使用大型预训练语言模型进行深度学习库的模糊测试背景深度学习库(TensorFlow和Pytorch)中的bug对下游任务系统是重要的,保障安全性和有效性。在深度学习(DL)库的模糊测试领域,直接生成满足输入语言(例如Python)语法/语义和张量计算的DL API输入/形状约束的深度学习程序具有挑战性。此外,深度学习API可能包含复杂的输入条件约束,难以在没有人工干预的情况下生成符合条件的输入用例。解决方案。
模糊测试原理(学习笔记)
10-08 520
模糊测试(Fuzz Testing)是种广泛用于软件安全和质量测试的自动化测试方法。它的基本思想是向输入参数或数据中注入随机、不规则或异常的数据,以检测目标程序或系统在处理不合法、不正常或边缘情况下的行为。模糊测试通常用于寻找软件漏洞、安全漏洞和崩溃点,以改进软件的稳定性和安全性。
模糊测试、黑盒测试、白盒测试、渗透测试
dwj_daiwenjie的博客
07-13 1万+
模糊测试 模糊测试 (fuzz testing, fuzzing)是软件测试技术。其核心思想是自动或半自动的生成随机数据输入到个程序中,并监视程序异常,如崩溃,断言(assertion)失败,以发现可能的程序错误,比如内存泄漏。模糊测试常常用于检测软件或计算机系统的安全漏洞。 模糊测试的实现是个非常简单的过程: 1、准备份插入程序中的正确的文件。 2、用随机数据替换该文件的某些部分。...
模糊测试基础学习.day 1
qq_45808840的博客
07-08 321
part1,模糊测试的基础知识。。
Sequential模型实现手写数字识别
qq_46186155的博客
12-14 3128
Sequential模型实现手写数字识别 Sequential模型是个神经网络的框架,只有组输入和组输出,各个层之间按照顺序先后堆叠。 般来说使用Sequential搭建、使用、评估神经网络可以有以下几步: 1、建立模型 首先先导入需要的函数库和加载手写数字的训练集 import tensorflow as tf import matplotlib.pyplot as plt import numpy as np mnist = tf.keras.datasets.mnist (train_x,tr
安全测试几种:代码静态扫描、模糊测试、黑盒测试、白盒测试、渗透测试
博客
01-30 1327
可以请些行业中安全方面的专家对这个金库进行全面检测和评估,比如检查金库门是否容易被破坏,检查金库的报警系统是否在异常出现的时候及时报警,检查所有的门、窗、通道等重点易突破的部位是否牢不可破,检查金库的管理安全制度、视频安防监控系统、出入口控制等等。,白盒指的是盒子是可视的,你清楚盒子内部的东西以及里面是如何运作的。以上是度娘的概念,简单来说,黑盒测试就是在不知道程序具体内容的情况下,按规定内的数据(格式)输入,检查是否能达到预期的经过程序正常处理的效果,找到出现非预期结果的那些错误。)进行面对面的沟通。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值