滲透測試的福音 既好用成本又低的雲端模糊測試

2021-09-23 12:35:45 字數 945 閱讀 2290

6年前一篇研究文章中提出的微軟理念——「雲端模糊測試(fuzzing)將徹底改變安全測試」,以 project springfield 漏洞發現專案的登場亮相作為其實現形式。 project springfield 是基於azure雲的服務,依靠自動向**提交不良輸入來發現軟體漏洞。

微軟提出的「雲端模糊測試即服務」

9月26號在亞特蘭大ignite大會上推出的 project springfield,為開發者在微軟azure雲端虛擬機器上進行持續性二進位制檔案測試的能力,有助發現和清除漏洞。

微軟研究團隊將 project springfield 比作「百萬美元漏洞檢測機」,因為有些軟體漏洞如果遺留時間過長,便會造成如此巨大的損失。當然,損失額度不一而足。

2023年美國國家標準技術局(nist)發布的乙份研究估測,軟體漏洞每年導致的美國經濟損失在222億到595億美元之間(現在大概在790億美元左右)。在軟體發布前捕獲漏洞,應該可以降低修復費用。

微軟稱,window 7 「百萬美元」安全漏洞中的1/3,都是用其「白箱模糊測試」技術發現的,該技術內部稱為sage(可擴充套件、自動化、指導性執行)。sage就是 project springfield 的其中乙個元件。

正如矽谷最近沸沸揚揚的其他公告,人工智慧(ai)在這裡面也摻了一腳。微軟稱其系統利用ai就「可能導致**崩潰的條件」提出問題並做出更好決策。

微軟的白箱模糊測試演算法象徵性地從乙個起始輸入執行**,並依據一路遇到的約束條件語句產生隨後的輸入資料。該技術與黑箱模糊測試完全不同,黑箱測試並不保證傳送的畸形輸入資料會通過所有目標路徑。因而,黑箱模糊測試有可能漏掉關鍵測試條件。

模糊測試適用於雲計算,因為模糊測試軟體可利用大量可用基礎設施並行執行不同測試。但微軟研究人員在2023年的研究**中說道,這種計算靈活性甚至不如共享雲基礎設施得來的好處重要。

將安全測試託管在雲端,縮短簡化了從每個應用收集資訊、推送更新、驅動未來開發改進的過程。

當然,也縮短了賬單。

滲透測試流程 滲透測試的9個步驟

明確目標 分析風險,獲得授權 資訊收集 漏洞探測 手動 自動 漏洞驗證 資訊分析 利用漏洞,獲取資料 資訊整理 形成報告1 確定範圍 測試的範圍,如 ip 網域名稱 內外網 整站or部分模組 2 確定規則 能滲透到什麼程度 發現漏洞為止or繼續利用漏洞 時間限制 能否修改上傳 能否提權 3 確定需求...

安全測試 滲透測試的理解

安全 測試不 同於滲透 測試,滲透測試側重於幾個點的穿透攻擊,而 安全測試是側重於對安全威脅的建模,系統的對來自各個方面,各個層面威脅的全面考量。安全測試可以告訴 您,您的系統可能會來自哪個方面的威脅,正在遭受哪些威脅,以及您的系統已經可抵禦什麼樣的威脅。當然,安全測試涵蓋滲透測試的部分內容。安全測...

我的滲透測試之路

註冊之後選了我比較感興趣的 kali linux滲透測試 課程,我之前在網上看過一些講解kali linux的課程,那些講師幾乎都是簡單說說 一帶而過,而這個目錄足足有177節,這講師該是有多麼良心啊,真正看了之後,我只想說,這個苑房弘老師講的是真的詳細,即使你是零基礎的,我敢保證你都能聽懂,這門課...