「ファジング」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「<!-- vim: filetype=mediawiki --> 読み方 ;ファジング:ふぁじんぐ __TOC__ == 概要 == ファジングは、問題を起こしそうなデータ(...」)
(相違点なし)

2013年3月29日 (金) 00:16時点における版


読み方

ファジング
ふぁじんぐ

概要

ファジングは、問題を起こしそうなデータ(ファズ(fuzz))を製品に送り込み、製品の動作状態からバグ脆弱性を発見するテスト手法の1つです。ファズツトと呼ばれることがあります。 問題の起こしそうなデータの例として、極端に長い文字列です。

ファジングは、ブラックボックステスト、もしくは、グレーボックステストに分類されます。

用語

ファズ(fuzz)
ファジングにおける「予測不可能な入力データ」のこと
ファズツール、ファザー(fuzzer)
ファジングを行うためのツール(自動化、半自動化)。

フェーズ

ファジングは、以下のフェーズを適用します。

  1. ターゲットに関する情報を入手する
  2. ターゲットアプリケーションに対して、ファジングでテストされる機能を特定します。
  3. ファズデータを生成します
  4. ファズデータを投入します
  5. 例外の発生を関しします
  6. 攻撃可能性を判定します(例外が発生したら攻撃への発展可能性を検証します)


インストール

使い方

関連項目

  • Webブラウザ用ファジングツール
cross_fuzz