ローカルのスタンドアロンアプリケーションをファジングするための適切なファジングフレームワークは何ですか?
私はファズの方法に関するガイドとチュートリアルを探していました。これまでのところ、私が見たものはすべてWebサーバー用です。 calc.exeまたは渡された引数をエコーバックするプログラムに沿って何かをファズしたい場合。どのフレームワークを使用し、どのようにそれを実行する必要がありますか。 0ネットワークトラフィックを受信し、ダイアログボックスまたはコマンドライン引数を介して入力を受信するアプリケーションをファジングするヘルプを探しています。
更新された回答:Windowsを使用している場合は、 CERT障害監視エンジン(FOE) を試してください。これは、Windowsのファジングフレームワークです。ファイルベースのファジング、ダイアログボックスのクリックなどの機能を備えています。
前の回答:zzufから始めることをお勧めします。ファイル、標準入力、またはコマンドラインから入力を読み取るスタンドアロンプログラムをファジングするには、コマンドラインファザーを使用するのが最も簡単で最も簡単です。それは非常に使いやすく、良い出発点です。
CERT Basic Fuzzing Framework も確認できます。
次に、より高度なものにしたい場合は、他のファザー(スパイクなど)を見ることができますが、それで始められます。
ダイアログボックスを介して入力を受け取るファズプログラムを使用する場合は、申し訳ありませんが、何をすすめればよいかわかりません。
あなたは間違いなく american fuzzy lop を試してみてください。これは、アプリケーション(またはコマンドライン引数を介して渡されたファイル)の標準入力で動作し、プログラムにランダムデータを供給するファザーです。次に、トリガーされたコードパスを監視し、新しいテストケースをインテリジェントに選択して、テストカバレッジを最大化します。すでに何百ものオープンソースのバグが見つかりました。
Peach Fuzzing Frameworkを使用してGUIをファズできます( http://peachfuzzer.com )
これに関する記事は次のとおりです。 http://phed.org/2008/01/13/Peach-21-fuzzing-gui-applications/
webアプリケーションをファジングしたい場合は、acunetix WebアプリケーションのセキュリティスキャナーやJBroFuzzなどのOWASPファジングプロジェクトに強力で使いやすいファジングがあります。ピーチピットXMLを構築するためのスキルに加えて、呪文に関する十分なドキュメントがありません)。 SPIKEおよびその他のユーティリティは、Kali LinuxまたはBacktrackおよびペネトレーションテストLinuxディストリビューションで使用できます。最後に、プログラミング(C、Pythonなど)のスキルがあれば、独自のFuuzerも構築できます。
幸運を