Wikipedia定义的模糊测试是:一种软件测试技术,通常是自动化或半自动化的,涉及向计算机程序的输入提供无效,意外或随机数据。然后监视程序是否存在异常,例如崩溃或内置代码断言失败。模糊测试通常用于测试软件或计算机系统中的安全性问题。


我想知道人们在Ruby / JavaScript / Python中使用了哪种模糊测试包。在我们的工厂中获得更大吸引力的一个因素是将更多的渗透测试推入我们的质量保证周期的想法。

评论

“好”是一个主观术语。仅仅问“哪些工具可用于Ruby,JavaScript或Python的模糊测试?”会更好吗?

如前所述编辑。

你在弄什么?文件,协议?您正在测试的应用程序会消耗哪种流?

别管我我只是在微笑,因为专业人员正在使用“模糊”一词,听起来很有趣。 :-)

#1 楼

如果您正在对Web应用程序进行模糊测试,那么Burp Suite值得一试。顾名思义,它实际上是一套不同的Web安全测试工具-我星期一在笔测试车间第一次使用它,它似乎是一个非常有用的工具。 Burp Intruder是用于进行模糊攻击的工具-这是一个包含Burp Repeater和Intruder的视频教程。这似乎更广泛地适用。 (正如您可以从“似乎”中看出的那样,我并没有使用太多的东西,它只是我在周末测试会议上考虑的工具列表中,但是却没有时间组织良好的会议)。

评论


打p是一个很棒的工具,可以做很多很棒的事情。 OWASP ZAP也有很多功能,也许值得一试。

– maznika
14年8月2日,0:04

#2 楼

我还没有亲自使用它(尽管我计划在进入私有alpha阶段时进行我的附带项目),但我认为Hexawise可以做到这一点。您可以调整定相参数(成对2个,成对3个,我认为最多为6个),它将生成一定范围内的值。这应该与您要执行的操作非常接近。您还可以在测试数据中设置变化,以便对您的“模糊测试”有所帮助。

我也没有亲自使用它,但是我希望不久的将来,因为它看起来像是很有前途的工具。作为前5个用户的免费试用版,它还可以免费用于商业目的,但是该版本的试用版除了用户数量之外,没有其他限制,除非升级,否则您无法自己托管它。

评论


我不知道Hexawise确实很模糊-我认为它纯粹是用于组合测试的。

–艾伦
2011年5月20日在20:29

它不会直接进行模糊测试。但是,通过使用高变化修饰符重新生成值,最终应获得与模糊化相似的结果。

–corsiKa♦
2011年5月20日在20:34

#3 楼

我会打通Codenomicon Defensics。他们发现了Heartbleed,所以你知道他们是合法的。

评论


您能详细说明一下吗?我们在这里看什么工具?

–corsiKa♦
2014年7月29日在2:02