Web应用模糊测试技术-袁晓筱-2017-11-12-19-00-00.pdf

ThenameoftheDepartmentBeijingForestStudio

北京理工大学信息系统及安全对抗实验中心部门名称

Web应用模糊测试技术

硕士研究生袁晓筱

2017年11月5日

目录

•基础知识

–模糊测试的概念

–模糊测试的历史发展

–模糊测试的分类

•Web应用模糊测试方法

–准备工作

–Web请求分析

–测试数据生成方法

–异常检测方法

2

基础知识

基础知识

定义

•通过一种提供非预期的输入并监视异常结果来发现软件故

障的方法。

正常登入

系统崩溃

以管理员身份登入

4

测试步骤

•识别目标

–分析待测试的目标程序/应用/服务器，确定模糊测试的具体目标范

围，定位相关输入输出

•识别输入

–分析测试目标的输入数据，确定目标程序/应用/服务器对输入数据

的要求或基本过滤条件

•生成模糊测试数据

•执行模糊测试数据

•监视异常

•确定可利用性

5

历史发展

•纯随机，向目标应用程序抛出随机数据

•首先分析协议规约，然后产生违背规约或者可能使协议无法正

确处理的报文

–计算机在内部和外部通信的各个方面都要使用协议，协议构成了

数据传输和数据处理的基础结构。

•可按需自定义功能模块的模糊测试工具框架（平台）

–产生长度可变的输入数据

–提供一个数值库，库中的数据有较大可能性使应用程序崩溃

–一组能产生常见协议和数据格式的函数

•针对特定程序、文件、漏洞的模糊测试工具

–针对环境变量，目的是发现缓冲区溢出漏洞

–针对Web浏览器，目的是发现动态HTML脚本的漏洞

–针对文件，目的是发现文件格式方面的安全漏洞

6

分类

•大类：

–基于变异的

•对已有数据样本进行变异；

–基于生成的

•以目标协议或文件格式建模生成；

7

分类

•变异或强制性测试；

–模糊器从有效的协议或数据格式开始，持续不断的打乱数据包或

文件中的每一个字、字节、双字或字符串。

•协议变异人工测试；

–研究者作为模糊器，基于经验输入；

•随机方法；

–大量产生伪随机数据给目标软件；

•预先生成测试用例；

–针对专门的规约，测试所有支持的数据结构和可接受的值范围；

•自动协议生成测试；

–创建描述协议规约如何工作的文法。

–模糊器识别数据包或文件中静