[Security] Fuzzer, Fuzzing 이란?

오늘은 Fuzzer, Fuzzing에 대해서 간단하게 다뤄보려고 한다
 

마! 니 이정도면 블로그 중독이다 !

  "Fuzzing refers to a process of repeatedly running a program with generated inputs to test if a program violates a correctness policy." 라고 한다.
 
걍 취약점 분석을 위해서 인풋을 반복해서 엄청 많이 넣어봐서(랜덤하든 안 랜덤하든) 버그같은 거 있는지 확인하는 거다!!!! 그 내가 Python 통해서 Blind SQL Injection 자동화 도구 만들려고 했던거랑 비슷한걸로 보인다(아마?)
근데 일단 저 Python 통해서 만드는거랑 ㄹㅇ로 비슷한 거면 fuzzer 만드는건 꽤나 내 취향일 수도...? 왜냐면 개발도 재밌고 보안도 재밌기 때문이다 헤헹 이거 넘 일기스러운 포스트같은데 ㅎㅎㅎ,, 혹시나 이 글을 본다면 무시해도 된다.. 사실 지금 배가 아파서 정신이 없당 ㅠ ㅠ 
 
 

퍼징을 현재 아는 정보의 양으로 구분할 수있는데 이는 다음과 같다.

• Black-box Fuzzing: 걍 내부 구조 모르고 인풋 아웃풋만 알 수 있는 상태에서 퍼징
• White-box Fuzzing: 프로그램 내부 구조 아는 상태에서 퍼징
• Grey-box Fuzzing: 프로그램 내부의 일부를 아는 상황에서 퍼징

걍 내가 현암기에서 배웠던 블랙(그레이,화이트)박스 어택이랑 똑같다. (black box attack은 걍 퍼징이란 단어를 위에서 attack으로 바꾸면 된다)
 
 

퍼징의 특징을 볼까?

• protocol/file-format dependant
• data-type dependant

이다!!! 왜냐하면 ! 결국 fuzzing이라는 것은 input에 어떤 데이터를 넣는 것인데, 그 인풋 칸의 형식/타입이 맞는 것을 넣어야 결과가 돌아갈 거기 때문이다!!! 그니까 데이터를 형식에 잘 맞춰서 넣어주자
 
 

그럼 퍼징을 어떻게 하면 효율적일까?

이미 위험하다고 판단되는/예상되는 인풋 값(=fuzz vector)들을 (아니면 이놈들의 조합을) 먼저 인풋값이 넣어보는거다. 굳이 가능성도 낮은 값을 넣으면 비효율적일테니까! 

• for integers: zero, possibly negative or very big numbers 
• for chars: escaped, interpretable characters / instructions (ex: For SQL Requests, quotes / commands…)
• for binary: random ones

 
퍼징에 종류에도 여러가지 종류가 있는데 지금 배가 넘 아파서 여기서 마무리하도록 하겠따...안뇽...
 
 
Reference
https://ndb796.tistory.com/522

Fuzzing에 관하여 끄적인 글

https://owasp.org/www-community/Fuzzing

Fuzzing | OWASP Foundation