#.Fuzzer.
Related Link =>https://www.slideshare.net/indicthreads/perform-fuzz-on-appplications-web-interface
Related Link => https://ko.wikipedia.org/wiki/%EC%9C%84%ED%82%A4%EB%B0%B1%EA%B3%BC:%EB%8C%80%EB%AC%B8
#What is Fuzzer.
여러 분야에서 응용되고 알려진 Fuzzy 이론과 동일한 개념으로 랜덤 값 or Sequencial 값을
어플리케이션의 다양한 필드에 삽입하여 알려지지 않은 어플리케이션 취약점
(BOF,PFC,EH)에서부터 확실히 유해하다고 보기는 어려운 정보(OS Version, Application Server Version,Database Information)를
알아내기 위해 사용되는 도구.
Cf) BOF => Buffer OverFlow.
PFC => Parameter Format Check.
EH => Error Handling.
보안 관점에서 취약점 발견의 수단으로 사용되고, 예를 들어 SQL Injection or Cross Site Scripting 공격에 사용되어 왔다.
랜덤값 입력의 대상은 Application 뿐만 아니라 파일 포맷, 프로토콜, API 호출과 같은 프로그램 입력값에도
응용되고 있으며, 데이터베이스,공유메모리로 확대되고 있다.
#How to find vulnerabilities.
1.White Box Testing => 소스코드 리뷰를 통해 프로그램의 취약점을 발견하는 방법.
2.Black Box Testing => 단계적인 테스팅을 통한 프로그램의 관찰.
3.Gray Box Testing => White Box Test, Black Box Test의 중간 단계.
#Typical Vulnerabilities.
1.Access Control의 결점.
2.잘못된 로직 디자인.
3.백도어.
4.이상한 메모리 값.
#How to fuzzing.
'#Fuzzer' 카테고리의 다른 글
| #7.Vulnerabilities exploited using FOE. (0) | 2018.05.25 |
|---|---|
| #6.FOE Fuzzer Windows Additional Information. (0) | 2018.05.25 |
| #5.FOE Fuzzer. (0) | 2018.05.25 |
| #4.BFF Fuzzer Option. (0) | 2018.05.23 |
| #2.Types of Fuzzer. (0) | 2018.05.22 |
