Waa maxay Fuzzing?

Waa maxay wareer

Hordhac: Waa maxay Fuzzing?

Sannadkii 2014-kii, tuugo Shiinees ah la jabsaday Nidaamyada Caafimaadka Bulshada, silsilad cisbitaal Maraykan ah oo faa'iido doon ah, oo xaday xogta 4.5 milyan bukaan. Hackers-ku waxa ay ka faa’iidaysteen bug la yidhaa Heartbleed oo laga helay maktabadda OpenSSL-ka ee maktabadda bilo ka hor inta aan la jabin.

Wadnaha wadnaha waa tusaale nooc ka mid ah vectors weerar oo u oggolaanaya weeraryahannada inay galaan bartilmaameedka iyagoo soo diraya codsiyo khaldan oo ansax ah oo ku filan inay ku gudbaan jeegaga horudhaca ah. Iyadoo xirfadlayaasha ka shaqeeya qaybaha kala duwan ee abka ay ku dadaalaan sidii ay u sugi lahaayeen ammaankiisa, haddana suurtogal maaha in laga fikiro dhammaan kiisaska geesaha ah ee jabin kara abka ama ka dhigi kara mid nugul inta lagu jiro horumarka.

Tani waa meesha 'fuzzing' uu ka soo galo.

Waa maxay Weerar Dawakhsan?

Fuzzing, test fuzz, ama wera fuzz, waa farsama tijaabinta software iswada oo loo isticmaalo in lagu quudiyo xogta aan sugnayn, lama filaanka ah, ama aan ansax ahayn (loo yaqaan fuzz) barnaamijka. Barnaamijka waxaa lagula socdaa dhaqamada aan caadiga ahayn ama lama filaanka ah sida qulqulka xad dhaafka ah, shilalka, daadinta xusuusta, dunta laalaada, iyo jebinta akhrinta/qorista. Qalabka fuzzer ama fuzzer ayaa markaa loo isticmaalaa si loo ogaado sababta dabeecadda aan caadiga ahayn.

Fuzzing waxay ku salaysan tahay malo ah in dhammaan nidaamyada ay ku jiraan cayayaanka sugaya in la ogaado, oo la siin karo waqti iyo agab ku filan si taas loo sameeyo. Nidaamyada intooda badani waxay leeyihiin baarayaal aad u wanaagsan ama ka-hortagga ansixinta gelinta cybercriminals ka faa'iidaysiga cayayaan kasta oo mala awaal ah ee barnaamijka. Si kastaba ha noqotee, sida aan kor ku soo sheegnay, daboolida dhammaan kiisaska geesaha inta lagu jiro horumarka waa adag tahay.

Fuzzers waxaa loo isticmaalaa barnaamijyada qaata gelinta habaysan ama leh nooc ka mid ah xudduudaha kalsoonida. Tusaale ahaan, barnaamijka aqbala faylasha PDF wuxuu lahaan lahaa xoogaa ansax ah si loo hubiyo in feylku leeyahay kordhinta .pdf iyo baarser si loo farsameeyo faylka PDF.

Fuzzer wax ku ool ah ayaa soo saari kara agab ku filan si uu uga gudbo xudduudahan haddana aan ansax ahayn oo sababa habdhaqan lama filaan ah oo ka sii fog barnaamijka. Tani waa muhiim sababtoo ah kaliya inaad awood u leedahay inaad ka gudubto ansixinta macnaheedu maahan wax badan haddii aan waxyeello kale loo geysan.

Fuzzers-ku waxay ogaadaan vectors-ka weerarka oo aad ula mid ah oo ay ku jiraan kuwa la mid ah duritaanka SQL, qoraal-qorista goobta, qulqulka xad-dhaafka ah, iyo weerarrada adeegga diidmada. Dhammaan weerarradan waxay ka dhasheen quudinta xogta lama filaanka ah, aan sax ahayn, ama xogta aan tooska ahayn ee nidaamka. 

 

Noocyada Fuzzers

Fuzzers waxaa loo kala saari karaa iyadoo lagu salaynayo sifooyinka qaarkood:

  1. Bartilmaameedyada weerarka
  2. Habka abuurka fuzz
  3. Wacyigelinta qaab dhismeedka wax gelinta
  4. Wacyigelinta qaab dhismeedka barnaamijka

1. Weerarrada

Kala soocidaani waxay ku salaysan tahay nooca madal fuzzer loo isticmaalo in lagu tijaabiyo. Fuzzers waxaa caadi ahaan loo isticmaalaa borotokoolka shabakada iyo codsiyada software. Madal kastaa waxay leedahay nooc gaar ah oo wax gelin ah oo ay hesho, oo sidaas awgeed waxay u baahan tahay noocyo kala duwan oo fuzzers ah.

Tusaale ahaan, marka wax laga qabanayo arjiyada, dhammaan isku dayada qallafsan waxay ka dhacaan kanaalada gelinta ee kala duwan ee arjiga, sida interface-ka isticmaalaha, terminalka khadka- taliska, foomamka/qorista qoraallada, iyo galitaanka faylka. Markaa dhammaan agabyada uu soo saaro fuzzerku waa inay ku habboonaadaan kanaaladan.

Fuzzers ka shaqeeya borotokoolka isgaarsiinta waa inay wax ka qabtaan xirmooyinka. Fuzzers-ka bar-tilmaameedsada goobtan waxay dhalin karaan baakado been abuur ah, ama xitaa waxay u dhaqmaan sidii wakiilo si ay wax uga beddelaan xirmooyinka dhexda oo ay dib ugu ciyaaraan.

2. Habka Abuuridda Fuzz

Fuzzers sidoo kale waxaa loo kala saari karaa iyadoo lagu salaynayo sida ay u abuuraan xogta lagu wareero. Taariikh ahaan, fuzzers waxa ay abuureen fuzz iyaga oo ka soo saaraya xog aan toos ahayn oo xoq ah. Tani waxay ahayd sida Professor Barton Miller, bilaabay farsamadan, uu sameeyay markii hore. Noocan fuzzer waxaa loo yaqaan a fuzzer jiilka ku salaysan.

Si kastaba ha noqotee, iyada oo qofku si aragti ahaan u soo saari karo xog ka gudbi doonta xadka kalsoonida, waxay qaadan doontaa wakhti iyo agab badan si taas loo sameeyo. Sidaa darteed habkan waxaa inta badan loo adeegsadaa nidaamyada leh qaab-dhismeedyo fudud oo wax-gelin ah.

Xalka dhibaatadan waa in la beddelo xogta la og yahay inay sax tahay si loo soo saaro xog sax ah oo ku filan si looga gudbo xuduud aaminaad, weli aan ansax ahayn oo ku filan inay dhibaato keento. Tusaalaha wanaagsan ee tani waa a DNS fuzzer kaas oo qaata magac domain ka dibna soo saara liis badan oo magacyo domain ah si loo ogaado xayndaabka suurtagalka ah ee lagu beegsanayo mulkiilaha bogga la cayimay.

Habkani wuu ka xariifsan yahay kii hore wuxuuna si weyn u soo koobayaa wax-soo-saarka suurtagalka ah. Fuzzers ee isticmaala habkan ayaa loo yaqaan fuzzers ku salaysan beddelka

Waxa jira habab saddexaad oo dhawaanahan ka soo baxay oo isticmaalaya algorithms hidde-sideyaasha si ay isugu keenaan xogta fuzz ee ugu habboon ee loo baahan yahay si meesha looga saaro dayacanka. Waxay u shaqeysaa iyadoo si joogto ah u nadiifinaysa xogteeda fuzz, iyadoo tixgelinaysa waxqabadka xogta imtixaan kasta marka la quudiyo barnaamijka. 

Qaybaha xogta ugu shaqada xun ayaa laga saaray barkada xogta, halka kuwa ugu fiican la bedelay iyo/ama la isku daray. Jiilka cusub ee xogta ayaa markaa loo istcimaalaa in lagu tijaabiyo mar kale. Fuzzersan waxaa lagu tilmaamaa sida fuzzers-ku-saleysan isbeddelka kobcinta.

3. Wacyigelinta Qaab-dhismeedka Wax-soo-gelinta

Kala soocidaani waxay ku salaysan tahay in fuzzerku uu ka warqabo oo si firfircoon u isticmaalo qaab dhismeedka barnaamijka si uu u dhaliyo xogta fuzz. A fuzzer doqon (fuzzer-ka aan ka warqabin qaab dhismeedka barnaamijka) waxa uu abuuraa jaahwareer qaab aan caadi ahayn. Tan waxaa ku jiri kara jiilka iyo fuzzers-ku-saleysan beddelka labadaba. 


Haddii fuzzer la siiyo qaabka wax gelinta ee barnaamijka, fuzzer-ku waxa uu markaa isku dayi karaa in uu soo saaro ama beddelo xogta si ay ula mid noqoto qaabka wax gelinta ee la bixiyay. Habkani wuxuu sii yareynayaa qaddarka kheyraadka ku baxa soo saarista xog aan sax ahayn. Fuzzer-ka noocaas ah waxaa loo yaqaan a fuzzer caqli badan.

4. Wacyigelinta Qaab-dhismeedka Barnaamijka

Fuzzers waxa kale oo lagu kala saari karaa iyada oo lagu salaynayo in ay ka warqabaan shaqada gudaha ee barnaamijka ay ku wareersan yihiin, oo ay u isticmaalaan wacyiga si ay u caawiyaan soo saarista xogta fuzz. Marka fuzzers loo isticmaalo in lagu tijaabiyo barnaamijka iyada oo aan la fahmin qaab-dhismeedkiisa gudaha, waxa loo yaqaan tijaabinta sanduuqa madow. 

Xogta fuzz ee la soo saaro inta lagu jiro tijaabada santuuqa-madow inta badan waa ran aan kala sooc lahayn ilaa fuzzerku yahay fuzzer ku salaysan isbeddelka korriinka, halkaas oo ay 'wax ku barato' iyada oo la kormeerayo saamaynta jahawareerka iyo adeegsiga taas macluumaad si ay u nadiifiso xogta fuzz.

Tijaabada-sanduuqa cad dhinaca kale waxay isticmaashaa qaabka qaab dhismeedka barnaamijka si uu u dhaliyo xogta fuzz. Habkani wuxuu u ogolaanayaa fuzzer inuu tago goobaha muhiimka ah ee barnaamijka oo uu tijaabiyo. 

Aaladaha Fuzzing ee caanka ah

Waxaa jira wareer badan qalab halkaas oo ay adeegsadaan tijaabiyaasha qalinka. Qaar ka mid ah kuwa ugu caansan waa:

Xaddidaadda Fuzzing

In kasta oo Fuzzing ay tahay farsamo imtixaan qalin-jabin ah oo faa'iido leh, haddana khaladaad la'aan maaha. Qaar ka mid ah kuwan waa:

  • Waxay qaadataa wakhti dheer in la ordo.
  • Shilalka iyo dhaqamada kale ee lama filaanka ah ee la helo inta lagu jiro tijaabada sanduuqa madow ee barnaamijku way adkaan kartaa, haddii aanay suurtogal ahayn in la falanqeeyo ama laga saaro.
  • Abuuritaanka hambalyada isbeddelka ee fuzzers-ku-salaysan is-beddelka-sarreeya waxay noqon kartaa waqti-qaadasho. Mararka qaarkood, waxaa laga yaabaa in xitaa aysan suurtagal ahayn sababtoo ah qaabka wax gelinta oo ah mid iska leh ama aan la aqoon.

 

Si kastaba ha ahaatee, waa qalab quruxsan oo faa'iido leh oo lagama maarmaan u ah qof kasta oo raba inuu ogaado dhiqlaha ka hor kuwa xun.

Ugu Dambeyn

Fuzzing waa farsamo xoog badan oo qalinka tijaabinta kaas oo loo isticmaali karo in lagu daaha ka qaado dayacanka software-ka. Waxaa jira noocyo badan oo kala duwan oo fuzzers, iyo fuzzers cusub ayaa la soo saaray mar walba. Iyadoo fuzzing ay tahay qalab aad u faa'iido leh, waxay leedahay xaddidaaddeeda. Tusaale ahaan, fuzzers waxay heli karaan oo kaliya dayacnaan badan waxayna noqon karaan kuwo aad u xoogan. Si kastaba ha noqotee, haddii aad rabto inaad tijaabiso farsamadan cajiibka ah naftaada, waxaan leenahay a DNS Fuzzer API oo bilaash ah oo aad ku isticmaali karto goobtayada. 

Haddaba maxaad sugeysaa? 

Bilow wareer maanta!

adeegyada

our Company

Cinwaankaaga

Hailbytes

9511 Ilaalada Queens Ct.

Laurel, MD 20723

Phone: (732) 771-9995

Iimayl: info@hailbytes.com

Solutions

Su'aalaha Amniga

Warbaahinta bulshada