¿Qué son las pruebas de fuzz?

Las pruebas de fuzz, o borrosa, es un método para verificar cómo un programa o sistema de computadora responderá a varias entradas e información aleatorias, a veces aleatorias. El proceso implica generar algún tipo de datos, ya sea completamente aleatorio o aleatorio dentro de ciertas restricciones, y luego alimentar esos datos en el programa para probar cómo maneja información inesperada. La forma más básica de las pruebas de fuzz consiste en enviar una secuencia aleatoria de presas o caracteres de teclas al programa y verificar que las procese correctamente. Una versión más compleja de las pruebas de fuzz utiliza datos estructurados que luego se manipulan aleatoriamente y se envían al programa. Los datos pueden llegar al programa como eventos del sistema, entradas de teclado, señales de red simuladas o incluso como archivos que se van a cargar.

Hay varias partes de un programa de computadora que se pueden probar con un generador de fuzz. La interfaz gráfica de usuario (GUI) puede ser TESeñaló creando una secuencia de eventos aleatorios de mouse y teclado y verificando que la GUI pueda manejar la entrada sin bloquear, congelar o realizar una tarea inesperada. Los protocolos de red se pueden probar permitiendo que el generador de fuzz cambie aleatoriamente partes de un paquete de datos válido y luego asegurando que el protocolo pueda continuar funcionando después de recibir datos malformados. Los elementos de entrada básicos de casi cualquier programa se pueden verificar por su capacidad para resistir errores, como la entrada que es demasiado larga para el tipo de almacenamiento, la entrada que es de un tipo diferente de lo esperado y la entrada que de alguna manera está incompleta o incorrecta.

La industria de seguridad informática puede usar pruebas de fuzz para garantizar que no existan agujeros de seguridad obvios en ciertos sistemas. Esto se puede hacer utilizando un generador de fuzz diseñado para probar la seguridad informática. Estos programas intentarán usar palabras clave del sistema, contraseñas de administrador predeterminadas conocidas, funciones dentro de las bibliotecas que usa el programa y CAL aleatoriols a las funciones del sistema para ver cómo reaccionará el programa.

Los diferentes tipos de pruebas de fuzz pueden personalizarse para estar dentro de ciertos rangos, o incluso para probar solo tipos específicos de entrada. Esto significa que un programa solo podría tener comandos válidos que se le envían, pero podrían estar en un orden sin sentido. Existen programas de prueba de fuzz más complejos que pueden tomar elementos del programa objetivo y manipularlos para producir situaciones que podrían explotarse maliciosamente. Esto puede incluir cambiar el orden de los procesos que están generados, modificaciones de permisos o modificación de datos básicos y archivos de biblioteca.

El resultado final de las pruebas de fuzz es ver si un programa es seguro y se comporta como debería cuando se enfrenta a una situación inesperada. Cuando se usa en conjunto con el software de perfil y análisis, también puede detectar fugas de memoria en áreas del programa, como manejo de errores o cuellos de botella de rendimiento. En casos de seguridad informática, problemas peligrosos como los desbordamientos que pueden cumplirOmise Un sistema puede ser atrapado con la configuración correcta. Sin embargo, las pruebas de fuzz no pueden usarse como el único método de pruebas de software y deben ser parte de un proceso mayor de garantía de calidad e inspección de software.