Defensics进行模糊测试的来龙去脉

2021-05-01 栏目:技术知识 查看()

在我们的网络研讨会中,我们讨论了使用模糊测试以及Defensics系统兼容性,模糊技术等准备零日攻击的方法。

 

我和里科(Rikke)在Synopsys的工作人员在此非常感谢所有参加“模糊测试”网络研讨会以及随后进行的互动式互动问答活动的所有人。这篇博客文章总结了网络研讨会以及演讲后我们回答的问题。如有其他任何输入或疑问,请与我们联系。我们很乐意听取您的意见。

一些关键的模糊测试要点

在此网络研讨会中,我们讨论了零时差攻击以及功能强大且有效的模糊测试工具的重要性。以下是一些要点:

您看不到的东西可能会伤害您

说明绒毛的重要性的最简洁的方法也许是让人联想到冰山的形象。冰山在水面上方的可见,可测量的部分表示系统或应用程序中的已知漏洞。这些漏洞已经得到识别和分类,并且可以使用修复程序或修补程序。冰山的淹没且无法确定的大部分代表着未知的漏洞。这些通常不会被发现和监控的漏洞构成了无法衡量的潜在威胁。

 

输入模糊测试。模糊测试是解决此无限风险的唯一安全实践。模糊测试模拟了黑客的行为,使系统和应用程序承受了无效和随机数据的负担,并暴露了本来可以利用的漏洞。这些威胁可能存在于任何地方,并且未经测试就可能无法检测到,除非为时已晚。您必须采取积极的行动。

在今天的情况下,仍然是世界上使用最广泛的CMS平台的WordPress每月大约被一次利用,并且遭受60%的零时差攻击。这些漏洞大多数来自缺乏安全治理,可以通过适当而有效的安全措施加以预防。成功的应用程序安全性方法包括最佳实践,例如安全编码和广泛的测试(SAST,SCA,DAST和IAST工具)。该组织持续暴露的规模凸显了对严格安全实践的需求,并将此问题置于当今安全问题的最前沿。

但是标准安全工具不够吗?

简而言之,不。尽管某些解决方案能够检测代码和应用程 序中的已知漏洞,但它们无法检测未知威胁。如前所述,未知漏洞没有发布或记录。因此,依赖已识别漏洞的数据库的标准安全工具无法识别未知数。识别未知漏洞的唯一有效方法是使用复杂的模拟黑客技术,例如模糊测试。模糊化模仿了黑客的活动,并在黑客发现它们之前向您的安全团队暴露了风险。

 

无所作为的代价

并非所有软件应用程序都可以轻松修复和发布的事实进一步加剧了将模糊测试纳入安全实践的紧迫性。完整的系统,嵌入式固件或芯片组以及医疗设备和设备很难进行测试,一旦部署,漏洞利用补救措施就需要大量资源。召回,故障排除和发出替换品所需的成本和时间可能不仅对安全性而且对产品安全性都具有毁灭性影响。零时差攻击毫无预警,可能对组织的成功产生巨大影响。

引入防御

Synopsys的Defensics模糊测试解决方案从战术上定位了漏洞(主要是未知漏洞和零日漏洞),然后再发布您的软件,从而最大程度地减少了补救时间,成本和遭受攻击的风险。与市场上的其他模糊测试者不同,Defensics对输入类型有深刻的了解,可以使其生成自定义测试,以通过管理通信规则的视角来利用关键的弱点。

由于Defensics测试很可能触发漏洞,因此安全团队可以在需要昂贵的补丁程序和召回之前有效地识别和缓解这些漏洞。

Defensics拥有可靠的往绩记录,不仅证明了我们测试套件的质量,还证明了我们客户期望的结果的整体质量。

鲸舟网络 -一家专注于软件开发的公司
扫二维码与项目经理沟通

我们在微信上24小时期待你的声音

解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流

郑重申明:福州鲸舟网络科技有限公司以外的任何单位或个人,不得使用该案例作为工作成功展示!