Fuzzing — это технология тестирования ПО, при которой программе передаются случайные данные, обычно специально сформированные некорректно. Такой тест помогает проверить систему на прочность.
Для фаззинга нужны базы — списки строк или других данных, которые исследователи скармливают приложению, чтобы найти уязвимости. Чаще всего они сами составляют базы и если с кем-то ими и делятся, то круг этих лиц очень ограничен. Однако в интернете можно найти списки, которые подойдут в качестве шаблона для собственной базы или даже для использования в готовом виде.
В качестве примера я хочу тебе предложить FuzzDB. Это открытая база данных различных пейлоадов, ворд-листов, паттернов и прочих полезностей. Все разбито на категории и подкатегории, что упрощает поиск. Применяя эту базу вместе с разными тулзами, можно заметно облегчить процедуру фаззинга. База частенько обновляется и пополняется новыми записями. Вот для чего она может пригодиться.
Использовать эту базу можно практически с любой тулзой из арсенала Kali. Листы для DNS помогут в разведке, а различные пейлоды подойдут для атак через Вurp или OWASP ZAP. Также ты найдешь паттерны на реакцию системы при различных ошибках и списки наиболее распространенных паролей. Как видишь, база стоит того, чтобы по крайней мере с ней ознакомиться, — наверняка найдется что взять на вооружение.
1 comments On Как собрать собственную базу для фаззинга с помощью FuzzDB
Pingback: Wadi — скрипт для фаззинга браузерного движка Edge - Cryptoworld ()