Problemem rozwiązań opierających się na prostocie jest dość mała elastyczność. Idealnym przykładem jest tutaj fuzzing, którego głównym założeniem jest właśnie jak najmniejsze skomplikowanie procesu testowania, począwszy od określenia możliwych punktów wejściowych aż po generowanie danych i wykrycie błędu. Jedna z jego podgrup – fuzzing aplikacji webowych, który wymaga dość skomplikowanych metod analizy treści w przypadku poszukiwania błędów nie dających wyraźnych oznak swojego istnienia, w wielu wypadkach dość widocznie przeciwstawia się wymogowi zapewnienia prostoty.

W tym momencie podstawowa idea fuzzingu jaką jest prostota stają się tylko tematem do teoretycznych rozważań. Oczywiście, można przyjąć, że fuzz testing jest metodą służącą tylko i wyłącznie do wyszukiwania prostych błędów, ale będzie to zbyt daleko idącym uproszczeniem i co więcej, będzie wymuszać konieczność określenia nazwy zautomatyzowanej metody testowania mogącej wykrywać „zaawansowane podatności”.

Trzeba więc rozgraniczyć prostotę wyszukiwania błędów i fuzzing. Prostota pojawia się wtedy, gdy problem, z którym się borykamy, nie wymaga wiele wysiłku. W przypadku bardziej zaawansowanych błędów zwiększają się nakłady czasowe i umysłowe, co jest dość oczywiste w przypadku opracowywania metody dającej lepsze efekty. Fuzzing jest natomiast niezmienny – opiera się na pseudolosowych danych i jest niezależny od tego czy stworzymy działający fuzzer w 5 minut i będzie on zapewniał skuteczność na poziomie kilkunastu procent czy też poświęcimy na to wiele miesięcy i otrzymamy narzędzie dające wielokrotnie ciekawsze rezultaty. Podsumowując, prostota procesu fuzzingu jest wprost proporcjonalna do skomplikowania problemu, czyli w naszym przypadku od stopnia złożoności aplikacji, trudności w identyfikacji punktów wejściowych i występowania podatności.

Abstrahując już od tematu fuzzingu istnieje wiele interesujących, rzadko omawianych metod „testowania” aplikacji. Z ciekawszych rozwiązań można wymienić różnego rodzaju boty wyspecjalizowane w atakowaniu witryn, rozproszone narzędzia testujące wymieniające się informacjami zebranymi podczas testów czy też szybko rozwijające się zunifikowane platformy testowe często dostarczane w postaci maszyn wirtualnych. Tematyka zautomatyzowanego testowania nastawionego na wyszukiwanie podatności jest bardzo rozległa i pomimo nazwy naszej strony kojarzącej się jedynie z jedną z jej dziedzin, częściej będziemy poruszać inne aspekty „testowania dla leniwych”.

Jeżeli kogoś interesuje tematyka fuzzingu aplikacji webowej i testowanie tego rodzaju oprogramowania pod kątem występowania luk w bezpieczeństwie (nie tylko tych prostych do wykrycia), to poniżej zamieszczam linki do mojej prezentacji, którą miałem przyjemność przedstawić na SEConference. Opublikowałem także film prezentujący działanie kilku prostych fuzzerów.

Web Application Fuzzing – prezentacja

Web Application Fuzzing – wideo

Liczę na konstruktywną krytykę :)

Nasze serca przepełnia duma. Cóż więcej można napisać. Konferencja udała się znakomicie, pomimo początkowych problemów technicznych. Udało nam się stworzyć darmową imprezę, która jest alternatywą dla swoich drogich, często przesadnie drogich, odpowiedników.

Nastrój, Prelegenci oraz Uczestnicy – to właśnie te czynniki doprowadziły do sukcesu SEConference. Już myślimy nad kolejną edycją, która ma być większa, lepsza i co najważniejsze – ma być na niej darmowa kawa dla wszystkich Uczestników (największa wada tegorocznej edycji) :)

Jeżeli chodzi o kwestię merytoryczną to wszystkie wykłady były przeprowadzone profesjonalnie i przekazywały duża ilość wiedzy wysokiej jakości. Począwszy od pierwszej prezentacji traktującej o SQL Injection (prowadził Michał Sajdak z Securitum), przez prelekcje Piotrka Wojtyły, Piotrka Koniecznego (jak zwykle zgromadził na sali komplet ludzi), Gynvaela (chyba najbardziej techniczna prezentacja), a kończąc na reprezentancie Łowców Botnetów – Borysie Łąckim (btw. w dzisiejszych czasach botnety są towarem niezwykle tanim jak na swoje możliwości) i przedstawicielu firmy ArcaBit, którym był Łukasz Majek. Ostatni wykład był może nieco za bardzo „komercyjny”, ale pośród informacji o produktach sygnowanych logo ArcaBit dało się znaleźć bardzo ciekawe wiadomości.

Oczywiście nie staram się oceniać mojego wykładu pt. „Web Application Fuzzing”. Pomimo tego, że był to wykład ściśle związany z tematyką tej strony to jego ocenę zostawię Uczestnikom SEConfu. Prezentacja zostanie udostępniona w najbliższym czasie na stronie konferencji.

Jeszcze raz, chcieliśmy podziękować Uczestnikom za udział w SEConference. Ponadto, na szczególne podziękowania zasługuje obsługa techniczna konferencji, w tym niezapomniany złotousty konferansjer, niezmordowany grafik i koder stron, a także cała reszta, która poświęciła swój cenny czas na prace przy konferencji. Odwaliliście kawał świetnej roboty.

Wszelkie uwagi prosimy zgłaszać w komentarzach.

Do zobaczenia za rok :)

Wzrost zainteresowania fuzzingiem jako metodą testowania oprogramowania pod kątem występowania luk w bezpieczeństwie jest zauważalny. Kolejne publikacje, coraz częściej pojawiające się w Internecie, prezentują coraz wyższy poziom merytoryczny i co ciekawsze, często przedstawiają ciekawe, autorskie metody testowania. Na samym Milw0rmie w przeciągu ostatnich miesięcy pojawiło się kilka wciągających artykułów takich jak PHP Fuzzing in Action czy też publikacja o chwytliwej nazwie Fuzzing for Fun and Profit. Oprócz publicznie udostępnianych tekstów, za które warto podziękować Społeczności, pojawiają się także płatne agregatory wiedzy w formie pisanej, czyli książki. Najnowszym wielostronicowym dziełem poruszającym tematykę fuzzingu jest książka pt. „Fuzzing for Software Security Testing and Quality Assurance”. Do „tekstowych” źródeł informacji dodajmy multum oprogramowania o otwartych kodzie, które idealnie nadaje się do analizy i zdobywania bardziej praktycznej wiedzy a zauważymy,  że o rozwój fuzzingu nie musimy się martwić. Problem w tym, że rosnąca popularność niesie ze sobą duże ryzyko.

Czytaj dalej… »

Redakcja fuzzing.eu serdecznie zaprasza na konferencję SEConference poświęconą tematyce bezpieczeństwa komputerowego, która odbędzie się w Krakowie w dniu 17 kwietnia 2009 roku. Na konferencji poruszone zostaną tematy z różnych poddziedzin IT Security – od bezpieczeństwa sieci komputerowych po oszukiwanie bankomatów. Co więcej, konferencja jest w pełni darmowa i udział w niej wymaga jedynie wcześniejszej rejestracji.

Czytaj dalej… »