模糊测试

模拟糊测试，是一种用于软件测试的自动化技术，其中要测试的程序在一个或多个输入接口上重复输入随机数据。 在大多数情况下，随机数据可用于在程序运行中创造其他测试方法无法实现的情况。 程序通常不是为任何输入数据设计的，如果数据不可信，程序可能会无意中崩溃，从而也暴露出安全漏洞（漏洞）。 因此，模糊测试是安全专业人员使用的最重要的技术之一。

模型测试通常在软件开发项目中作为黑盒测试的一部分进行，以检查新软件是否存在错误并检测任何安全漏洞。 同时，这种类型的测试有时也会在 IT 安全领域进行渗透测试，但这种情况很少见，因为系统崩溃是可以预料的。

如果程序使用模糊器生成的某些数据导致可重现的问题（例如崩溃），则可以使用白盒测试在此基础上研究确切原因。

模糊测试非常有效，因为测试过程通常是自动化的，并且在没有终止条件的情况下运行，这就是为什么它经常在测试阶段使用。 没有处理明确定义的测试用例集，但生成了越来越多的数据变体。 一旦有了模糊测试（模糊测试）的基础（工具、规则、流程），现有的模糊测试（规则/集）就可以在开发过程中非常快速、轻松地扩展。

模糊测试是一种软件质量保证方法，专门用于发现软件中仍然未知的漏洞和健壮性问题。

模糊测试通常需要专门为项目设计的工具，因此通常是专门制作/编程的。 然而，与此同时，与所谓的“框架”不同的是，还有久经考验的商业软件。 对于 Web 应用程序，您通常可以依靠现有工具，因为以抽象形式显示的过程始终相同，并且您有一个通用接口。 原则上，任何具有标准化接口或任何可以使用协议寻址的东西都可以使用模糊测试工具进行测试。

这就是模糊测试工具发挥作用的地方。 浏览器和软件的模糊测试现在也有不错的工具。 有了这些工具，您通常可以使用软件，例如 B. 网络浏览器，使用先前生成的无效数据字符串/文件并引发异常程序行为，如有必要，稍后记录和评估。

如今，商业环境中正在开发越来越多的“智能”或“有状态”模糊器，它们会预先检查待测系统的互操作性，然后将模拟测试集（异常化数据包）发送到目标系统根据测试结果。

众所周知的开源框架是例如。 这些框架非常复杂，需要广泛的模糊测试和协议知识。 其他工具如 B. Fuzzino，为模糊测试提供测试数据生成器，是轻量级的，因此很容易集成到现有的测试工具或现有的测试流程中。

可以在 fuzzing-survey.org 上看到现有黑盒、灰盒和白盒模糊器的交互式图形概述，每个模糊器都有它们的来源。