如何解决使用 AFL++ Fuzz web 应用程序并记录错误信息
我在 Linux 上工作。我想要做的是通过 afL++ 对 Web 应用程序进行模糊测试。 我的目标不是找出 XSS/CSRF 的风险...(我想我可以使用 ZAP 或 Burp 来处理它。) 我关注的是什么样的输入会发生“崩溃”。同时可以记录崩溃的错误信息,以便进一步分析。
我已经阅读了一些关于此的文章,似乎afl fuzzer需要通过套接字工作并且必须修改Web应用程序的源代码。但是就我而言,我不想修改源代码。我想要一个更通用的解决方案。
模糊目标:Web 应用程序二进制文件(例如 httpd)
主要目标:崩溃样本和崩溃错误日志
我对这个领域真的很陌生。请给我一些帮助:)
解决方法
如果您想使用 AFL++ 和套接字运行执行模糊测试,您需要修改要模糊测试的程序的源代码,使其适应以将测试用例文件作为套接字的缓冲区传递。或者使用允许套接字的 AFL++ 分支。
因此,步骤可能是:
- 修改httpd源代码适配AFL++。
- 使用 AFL++ 编译
- 创建测试用例(和/或添加字典)
- 模糊(和利润)。
AFL++ 可以在没有检测的情况下工作,但在我看来,如果您使用网络协议模糊器(例如 boofuzz),您的 porpose 会更好。即使对于 Web 应用程序,您也有 Burp Suite(turbo intruder 是一个非常好的插件)或 ZAP(如您所说)
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
