Mozilla 推出 FuzzDB,安全测试用例数据库
程序员文章站
2022-05-30 15:42:09
...
Mozilla推出了FuzzDB开源项目,这是一个用于对应用程序进行Fuzz安全测试的攻击模式和发现模式数据库,也就是一个包含了各种安全攻击模式的测试用例集合。其中包括可用于识别特殊的服务器响应和文档资源的攻击模式、可预测的资源名称、正则表达式模式等等。
FuzzDB可以用来做什么?
你可以使用FuzzDB来测试Web应用程序的安全性,比如:
FuzzDB既然是一个安全测试用例集合,那么也不排除别有用心的人会利用它进行破坏。对此Amuntner认为,该项目的根本目的是用来进行安全测试,如果开发人员和测试人员在软件开发周期中使用了FuzzDB,那么其他人就不会有机会找到漏洞。
Amuntner表示,FuzzDB的终极目标是——作为一个攻击工具,FuzzDB已经过时了。因为Web应用程序都已变得更加安全了,攻击者通过FuzzDB也找不到类似的漏洞了。
详细信息:Introducing FuzzDB
项目地址:https://github.com/rustyrobot/fuzzdb
FuzzDB可以用来做什么?
你可以使用FuzzDB来测试Web应用程序的安全性,比如:
- 可结合流行的渗透测试工具(如OWASP Zap或Burp Suite Web)对应用进行渗透测试
- 作为一个标准的ZAP Intercepting Proxy 插件
- 构建新的自动扫描器和自动化渗透测试工具
- 通过使用HTTP语义以外的东西来测试Web服务
- 可作为恶意输入内容,来测试GUI或命令行软件
- 使你的开源或商业应用程序安全性更高
- 识别你的探测器中的特殊响应
- 可通过这些测试用例来模拟攻击你的Web服务器,以测试IDS或IPS
- Web安全产品测试
- 测试自定义的Web服务器或其他网络服务中的漏洞
- 构建入侵识别和响应系统
- 可作为一个学习工具,帮你更好地理解各种不同的、恶意的、能导致漏洞的字节组合
引用
在网络安全方面,大多数人只关注攻击表面的东西,而很少去关注攻击模式库的开发。当我们动态测试Web应用程序的安全漏洞时,我们所使用的测试用例是否足够好?是否足够全面?
因此我将精力放在了找某些类型安全漏洞的速度和准确性上,并开始对各种攻击字符串、攻击文件和词典进行收集和分类,然后重新组织,就诞生了FuzzDB。
因此我将精力放在了找某些类型安全漏洞的速度和准确性上,并开始对各种攻击字符串、攻击文件和词典进行收集和分类,然后重新组织,就诞生了FuzzDB。
FuzzDB既然是一个安全测试用例集合,那么也不排除别有用心的人会利用它进行破坏。对此Amuntner认为,该项目的根本目的是用来进行安全测试,如果开发人员和测试人员在软件开发周期中使用了FuzzDB,那么其他人就不会有机会找到漏洞。
Amuntner表示,FuzzDB的终极目标是——作为一个攻击工具,FuzzDB已经过时了。因为Web应用程序都已变得更加安全了,攻击者通过FuzzDB也找不到类似的漏洞了。
详细信息:Introducing FuzzDB
项目地址:https://github.com/rustyrobot/fuzzdb
上一篇: 第十二节类的自动加载[12]_PHP
下一篇: PHP加载大图片优化方案