Tipos de Entradas para Fuzzing

  • Posted on: 27 December 2018
  • By: ReYDeS

Una distinción importante entre los objetivos de evaluación, es la capacidad en lo referente a su interfaz, lo cual dicta la facilidad de automatización para el proceso de Fuzzing. Las interfaces simples, como pasar comandos sobre una línea de comandos, son más fáciles de utilizar y automatizar, comparado con aplicaciones las cuales únicamente aceptan comandos desde su interfaz gráfica de usuario. Diferentes tipo de interfaces pueden también dictar la disponibilidad de las estrategias de Fuzzing y parámetros de configuración, lo cual resulta en ya sea un Fuzzing más fácil o más complicado.

Se debe anotar también las aplicaciones pueden tener soporte para múltiples tipos de entradas, de tal manera es importante distinguir entre cada una de ellas, y tener en consideración únicamente aquellas siendo de interés para nuestros propósitos de prueba. Un ejemplo de software el cual usualmente soporta entradas desde diferentes tipos de fuentes son los reproductores de medios. Una manera de utilizarlos es para reproducir música desde un archivo local almacenado en un dispositivo de almacenamiento; otro podría ser estaciones de radio a través de Internet. Dependiendo del tipo de entrada (archivo versus audio en red), una configuración diferente de Fuzzing podría ser requerida. También, se debe mencionar la complejidad de las pruebas de Fuzzing para estos dos tipos de entradas son diferentes. El hacer Fuzzing de archivos típicamente es más fácil comparado con Fuzzing a protocolos de red, esto porque la red añade otra capa entre los datos generados y la aplicación. Esta capa adicional incrementa la complejidad y puede influenciar las pruebas, además de hacer la reproducción de vulnerabilidades más difícil.

A continuación se mencionan algunos tipos comunes de interfaces para entradas.

  • Red (Por ejemplo, protocolo HTTP)
  • Linea de comandos (Por ejemplo, herramientas shell)
  • Entrada de archivo (Por ejemplo, reproductores de medio)

Fuentes:

https://en.wikipedia.org/wiki/Fuzzing
https://www.owasp.org/index.php/Fuzzing
https://www.mwrinfosecurity.com/our-thinking/15-minute-guide-to-fuzzing/
https://www.guru99.com/fuzz-testing.html

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1