Разработчики Mozilla анонсировали FuzzDB, базу данных с коллекцией образцов вредоносных и некорректных входных данных, нацеленных на повышение эффективности fuzzing-тестирования. В состав включены такие данные, как типовые шаблоны атак, предсказуемые имена ресурсов, возвращаемые сервером сообщения (типовые имена идентификаторов сессий, имена cookie и т.п.), часто используемые пароли и имена пользователей. Шаблоны атак разбиты на категории в зависимости от платформы, языка программирования и типа атаки. Содержимое базы распространяется под лицензией Creative Commons 3.0 BY.
В процессе классического fuzzing-тестирования оценивается реакция приложения на различные случайные комбинации входных данных. Например, проверяется обработка HTML-страниц со случайной комбинацией тегов и их параметров, в основной массе с некорректным применением аргументов. Сбой или крах при выполнении тестирования с высокой долей вероятности может свидетельствовать об ошибке или уязвимости. FuzzDB позволяет целенаправленно проверить реакцию приложения на входные данные, заведомо связанные с вредоносной активностью, оценив стойкость к типовым атакам.
Кроме того, FuzzDB может использоваться совместно с системами тестирования приложений на уязвимости, такими как OWASP Zap и Burp Suite. Опубликованные данные также можно использовать для симуляции активности, напоминающей проведение атаки, с целью тестирования работы внедрённых систем обнаружения и предотвращения атак.
|