[Security] Fuzzer, Fuzzing 이란?

🔐 Security

[Security] Fuzzer, Fuzzing 이란?

Rosieblue 2023. 3. 3. 16:01

728x90

오늘은 Fuzzer, Fuzzing에 대해서 간단하게 다뤄보려고 한다

"Fuzzing refers to a process of repeatedly running a program with generated inputs to test if a program violates a correctness policy." 라고 한다.

걍 취약점 분석을 위해서 인풋을 반복해서 엄청 많이 넣어봐서(랜덤하든 안 랜덤하든) 버그같은 거 있는지 확인하는 거다!!!! 그 내가 Python 통해서 Blind SQL Injection 자동화 도구 만들려고 했던거랑 비슷한걸로 보인다(아마?)
근데 일단 저 Python 통해서 만드는거랑 ㄹㅇ로 비슷한 거면 fuzzer 만드는건 꽤나 내 취향일 수도...? 왜냐면 개발도 재밌고 보안도 재밌기 때문이다 헤헹 이거 넘 일기스러운 포스트같은데 ㅎㅎㅎ,, 혹시나 이 글을 본다면 무시해도 된다.. 사실 지금 배가 아파서 정신이 없당 ㅠ ㅠ

퍼징을 현재 아는 정보의 양으로 구분할 수있는데 이는 다음과 같다.

Black-box Fuzzing: 걍 내부 구조 모르고 인풋 아웃풋만 알 수 있는 상태에서 퍼징
White-box Fuzzing: 프로그램 내부 구조 아는 상태에서 퍼징
Grey-box Fuzzing: 프로그램 내부의 일부를 아는 상황에서 퍼징

걍 내가 현암기에서 배웠던 블랙(그레이,화이트)박스 어택이랑 똑같다. (black box attack은 걍 퍼징이란 단어를 위에서 attack으로 바꾸면 된다)

퍼징의 특징을 볼까?

protocol/file-format dependant
data-type dependant

이다!!! 왜냐하면 ! 결국 fuzzing이라는 것은 input에 어떤 데이터를 넣는 것인데, 그 인풋 칸의 형식/타입이 맞는 것을 넣어야 결과가 돌아갈 거기 때문이다!!! 그니까 데이터를 형식에 잘 맞춰서 넣어주자

그럼 퍼징을 어떻게 하면 효율적일까?

이미 위험하다고 판단되는/예상되는 인풋 값(=fuzz vector)들을 (아니면 이놈들의 조합을) 먼저 인풋값이 넣어보는거다. 굳이 가능성도 낮은 값을 넣으면 비효율적일테니까!

for integers: zero, possibly negative or very big numbers
for chars: escaped, interpretable characters / instructions (ex: For SQL Requests, quotes / commands…)
for binary: random ones

퍼징에 종류에도 여러가지 종류가 있는데 지금 배가 넘 아파서 여기서 마무리하도록 하겠따...안뇽...

Reference
https://ndb796.tistory.com/522

Fuzzing에 관하여 끄적인 글

하나의 프로그램의 취약점을 찾는 방법에는 다양한 기법이 있다. 기본적으로 프로그램은 입력(input)을 받아서 출력(output)을 내보내는 방식으로 동직하는데, 퍼징(fuzzing)이란 자동적으로 입력을

ndb796.tistory.com

https://owasp.org/www-community/Fuzzing

Fuzzing | OWASP Foundation

Fuzzing on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.

owasp.org