@scream
2年前 提问
1个回答

什么问题影响了模糊测试技术

一颗小胡椒
2年前

影响模糊测试技术的要素有:

  • 测试自动化程度低需要人工干预:大部分工具在模糊数据的生成以及对被测对象检测结果分析等过程都需要人工参与,自动化程度不高。例如,Wfuzz等工具需要测试人员提供正常请求并对其中需要模糊化的变量进行标记才能生成一系列模糊数据。

  • 检测的漏洞类型较少:一些工具只能对少数几种特定类型的安全漏洞进行模糊测试。例如,WebFuzz等工具只能检测Web应用系统中的SQL注入和XSS等类型的安全漏洞,漏洞发掘能力有限。

  • 漏洞检测的漏报率和误报率高:一些工具的模糊数据生成以及漏洞检测方法较为简单,造成测试结果中漏洞的漏报率和误报率比较高。例如,WebFuzz等工具只是通过在原始请求中简单地插入攻击载荷的方式来生成模糊数据,在漏洞检测上也只是简单地查找返回的Web网页中是否存在特定的内容。

  • 工具的可扩展性较差:工具在设计上均存在耦合程度高、可扩展性差等问题,对新漏洞类型的扩展比较困难。

  • 测试结果的展示不够直观:大部分工具在测试结果的展示上都不够直观,有的甚至仅提供模糊测试的执行日志,如WSFuzzer、Wfuzz等,需要人工对数百条记录进行分析来确定其中的哪些测试数据引发了被测对象的安全漏洞。