#фаззингтестирование — Public Fediverse posts

[Перевод] Как мы подружили однопоточный C++ с многопоточным Rust

Этот пост написан по мотивам выступления, с которым мы с Шисянь Ван ездили на конференцию Rust UnConf , организованную нью-йоркским сообществом Rust . Конференция UnConf собрала поистине потрясающий коллектив энтузиастов a Rust, в компании которых мы более двух часов посвятили глубоким техническим дискуссиям (а также поеданию мороженого). Далее при необходимости я буду ссылаться на опыт нашей компании Antithesis.

https://habr.com/ru/articles/1010062/

#rust #с++ #компиляторы #программирование #фаззингтестирование #оптимизация #исследование

250 критических замечаний, или Как мы нашли общий язык с разработчиками

Иногда работа идет по отлаженным процессам, но результат — вопреки ожиданиям и цитате, авторство которой приписывают то Эйнштейну, то Ваасу Монтенегро, — получается совершенно другим. И ты понимаешь, что процессы пора менять. В прошлой статье я рассказывала о том, какие подходы и инструменты мы используем в «Базисе» для реализации DevSecOps. Сегодня же хочу поделиться своим опытом выстраивания организационных процессов безопасной разработки.

https://habr.com/ru/companies/basis/articles/1002948/

#рбпо #безопасная_разработка #процессы #devsecops #поиск_уязвимостей #фаззингтестирование

Фаззинг телекома с генетическим алгоритмом: как тестировать продукт на безопасность, если обычных методов недостаточно

Что делать, если сложная высоконагруженная система уже полностью покрыта базовыми тестами, используется фаззинг без модификаций, но выявить удалось не все критические уязвимости? Поможет внедрение генетического алгоритма. Меня зовут Арина Волошина, я AppSec-инженер в YADRO и занимаюсь тестированием безопасности телеком-продуктов: базовой станции, контроллера базовых станций и системой управления элементами сети. Мы внедрили много разных видов тестирования в эти продукты, но этого оказалось недостаточно. В своих научных исследованиях я занималась генетическими алгоритмами, поэтому решила применить академические знания на практике и реализовать генетику в фаззинге. Что из этого вышло — читайте под катом.

https://habr.com/ru/companies/yadro/articles/981842/

#appsec #информационная_безопасность #тестирование #телеком #фаззинг #фаззингтестирование #генетические_алгоритмы

Безопасность кода: почему это должно волновать разработчика с первой строки и до релиза?

Вы допилили очередной модуль для своего проекта. Код исправлен, логика работает как часы, все тесты и сборки зелёные. Жмёшь запуск – всё летает. Кажется, что задача в кармане, можно расслабиться и идти отдыхать. Однако этот на первый взгляд идеальный код может скрывать невидимые лазейки. Причём не обычные баги, которые ломают функциональность, а настоящие уязвимости (которые потом превращаются в заголовки новостей про утечки данных). Это как построить громадный замок со рвом и мощными стенами, а потом обнаружить, что в фундаменте остался забытый потайной туннель. Только в мире информационных технологий такие туннели не остаются исключительно архитектурным недочётом, а превращаются в реальные векторы атак, которые могут выстрелить по-настоящему больно – от утечки пользовательских данных до полного уничтожения инфраструктуры компании.

https://habr.com/ru/companies/securityvison/articles/980308/

#информационная_безопасность #безопасная_разработка #безопасность_кода #ssdlc #фаззингтестирование #sast #dast

Как подружить DynamoRIO и LibFuzzer

Приветствую всех обитателей Хабра и случайных гостей! Этой статьёй я хотел бы начать цикл заметок, посвящённых моей научной работе в вузе, связанной с фаззинг-тестированием. Всего на данный момент я работаю над темой 2 семестра. За это время мне много раз приходилось обращаться к интернет ресурсам в поисках информации по работе с DynamoRIO. Но, к сожалению, годных ресурсов попадалось крайне мало. Поэтому я решил облегчить судьбу другим, интересующимся этой темой и инструментарием, и состряпал данную статью. Надеюсь, кому-нибудь это да пригодится ;-)

https://habr.com/ru/articles/826932/

#фаззинг #фаззингтестирование #dynamorio #libfuzzer #ассемблер #динамический_анализ #динамическая_инструментация #динамический_анализ_кода #криптография #инструментация

Как подружить DynamoRIO и LibFuzzer

Приветствую всех обитателей Хабра и случайных гостей! Этой статьёй я хотел бы начать цикл заметок, посвящённых моей научной работе в вузе, связанной с фаззинг-тестированием. Всего на данный момент я работаю над темой 2 семестра. За это время мне много раз приходилось обращаться к интернет ресурсам в поисках информации по работе с DynamoRIO. Но, к сожалению, годных ресурсов попадалось крайне мало. Поэтому я решил облегчить судьбу другим, интересующимся этой темой и инструментарием, и состряпал данную статью. Надеюсь, кому-нибудь это да пригодится ;-)

https://habr.com/ru/articles/826932/

#фаззинг #фаззингтестирование #dynamorio #libfuzzer #ассемблер #динамический_анализ #динамическая_инструментация #динамический_анализ_кода #криптография #инструментация

Как подружить DynamoRIO и LibFuzzer

Приветствую всех обитателей Хабра и случайных гостей! Этой статьёй я хотел бы начать цикл заметок, посвящённых моей научной работе в вузе, связанной с фаззинг-тестированием. Всего на данный момент я работаю над темой 2 семестра. За это время мне много раз приходилось обращаться к интернет ресурсам в поисках информации по работе с DynamoRIO. Но, к сожалению, годных ресурсов попадалось крайне мало. Поэтому я решил облегчить судьбу другим, интересующимся этой темой и инструментарием, и состряпал данную статью. Надеюсь, кому-нибудь это да пригодится ;-)

https://habr.com/ru/articles/826932/

#фаззинг #фаззингтестирование #dynamorio #libfuzzer #ассемблер #динамический_анализ #динамическая_инструментация #динамический_анализ_кода #криптография #инструментация

Фаззинг на пальцах. Часть 2: автоматизация фаззинг-тестирования на примере ClusterFuzz

Это вторая часть цикла статей, посвященных фаззинг-тестированию, от сотрудников направления безопасной разработки Центра кибербезопасности УЦСБ. У нас есть практический опыт проверки программ, и мы готовы делиться знаниями. Первая часть цикла статей доступна по ссылке .

https://habr.com/ru/companies/ussc/articles/812853/

#фаззинг #фаззингтестирование #информационная_безопасность #безопасная_разработка #devsecops #appsec #аналитика_приложений

Fuzzing-тестирование. Практическое применение

Привет, Хабр! Меня зовут Никита Догаев, я Backend Team Lead в команде Контента на портале поставщиков Wildberries. Мы отвечаем за карточки, которые каждый день испытывают на прочность сотни тысяч продавцов из разных стран. В статье поделюсь своим опытом применения фаззинга для нагрузочных и интеграционных тестирований. Расскажу про генерацию текстов на армянском языке, тестирование SQL-запросов, а также можно ли использовать фаззер и unit-тестирование бок о бок, и какие баги нам удалось найти.

https://habr.com/ru/companies/wildberries/articles/808911/

#golang #fuzzing #go #go_fuzz #фаззинг #фаззингтестирование #qa #qa_testing #тестирование #qa_automation

Исследование веб-приложений с помощью утилиты Ffuf

В сфере информационной безопасности и тестирования веб-приложений каждая малейшая уязвимость может привести к серьезным последствиям. Надежным помощником в обнаружении скрытых угроз и проведения глубокого анализа безопасности веб-систем может стать утилита Ffuf. Разбираемся с фаззингом с Ffuf и исследуем несколько ключевых методов его применения.

https://habr.com/ru/companies/skillfactory/articles/810293/

#безопасность_вебприложений #информационная_безопасность #фаззинг #безопасность_сайтов #фаззингтестирование #Ffuf #команды_Ffuf #защита_сайта

Исследование веб-приложений с помощью утилиты Ffuf

В сфере информационной безопасности и тестирования веб-приложений каждая малейшая уязвимость может привести к серьезным последствиям. Надежным помощником в обнаружении скрытых угроз и проведения глубокого анализа безопасности веб-систем может стать утилита Ffuf. Разбираемся с фаззингом с Ffuf и исследуем несколько ключевых методов его применения.

https://habr.com/ru/companies/skillfactory/articles/810293/

#безопасность_вебприложений #информационная_безопасность #фаззинг #безопасность_сайтов #фаззингтестирование #Ffuf #команды_Ffuf #защита_сайта

Исследование веб-приложений с помощью утилиты Ffuf

В сфере информационной безопасности и тестирования веб-приложений каждая малейшая уязвимость может привести к серьезным последствиям. Надежным помощником в обнаружении скрытых угроз и проведения глубокого анализа безопасности веб-систем может стать утилита Ffuf. Разбираемся с фаззингом с Ffuf и исследуем несколько ключевых методов его применения.

https://habr.com/ru/companies/skillfactory/articles/810293/

#безопасность_вебприложений #информационная_безопасность #фаззинг #безопасность_сайтов #фаззингтестирование #Ffuf #команды_Ffuf #защита_сайта

Как провести фаззинг REST API с помощью RESTler. Часть 3

Вступление Привет, Хабр! С вами Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security. В прошлых статьях, посвященных фаззингу REST API, мы рассказывали о методе Stateful REST API Fuzzing и настройках инструмента RESTler. Сегодня мы поговорим о режимах тестирования, аннотациях, проблемах при подготовке и проведении фаззинга API и способах их решения. Статья написана в соавторстве с инженером по безопасности Артемом Мурадяном @TOKYOBOY0701 .

https://habr.com/ru/companies/swordfish_security/articles/806443/

#фаззинг #фаззингтестирование #api #application_security #api_security

Как провести фаззинг REST API с помощью RESTler. Часть 2

Всем привет! На связи Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security. В предыдущей статье мы рассказывали о Stateful REST API-фаззинге с применением инструмента RESTler. Сегодня мы поговорим о продвинутых возможностях RESTler-а и покажем, как настроить фаззер на примере более сложного приложения. Этот материал мы подготовили вместе с Артемом Мурадяном @TOKYOBOY0701 , инженером по безопасности.

https://habr.com/ru/companies/swordfish_security/articles/801313/

#фаззинг #фаззингтестирование #api #application_security #owasp

Подготовка инструментов под фаззинг UEFI на базе edk2 в Windows

Так повелось в мире, что время от времени необходимо проводить исследования безопасности драйверов и прошивок. Одним из способов исследования является - фаззинг ( Fuzzing ). Не будем останавливаться на описание на самого процесса фаззинга, для этого есть эта статья , отметим только, что в основном его используют для исследования прикладных приложений. И тут возникает вопрос: как профаззить прошивку, в частности прошивку UEFI? Здесь будет рассказано об одном из способов с использованием программного эмулятора EDKII, чтобы проводить фаззинг без развертывания аппаратных стендов. И что важно, все это сделаем в Windows.

https://habr.com/ru/articles/773548/

#фаззинг #фаззингтестирование #uefi #edk_ii #dxe #dll

Как провести фаззинг REST API с помощью RESTler

Привет, Хабр! С вами Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security. Современная разработка программного обеспечения требует не только функционального, но и безопасного API. Сегодня мы расскажем, как провести фаззинг-тестирование API c помощью инструмента RESTler , имея на руках только спецификацию API. Статья написана в соавторстве с нашим инженером по безопасности, Артемом Мурадяном @TOKYOBOY0701 .

https://habr.com/ru/companies/swordfish_security/articles/793514/

#фаззинг #фаззингтестирование

[Перевод] Предварительная оценка вероятности наличия уязвимостей в программах с учетом семантики средствами нейронных сетей (1/3)

Полное название: Предварительная оценка вероятности наличия уязвимостей в программах в двоичном представлении с учетом семантики средствами нейронных сетей. Часть 2 Часть 3 Предварительная оценка вероятности наличия уязвимостей (vulnerability prediction, VP) в бинарных программах с использованием статического анализа является популярной темой исследований. Традиционные методы VP основаны на применении шаблонов уязвимостей, которые требуют трудоемкой разработки шаблонов уязвимостей силами экспертами по безопасности. Развитие искусственного интеллекта (ИИ) открыло новые возможности для VP. Нейронные сети позволяют обучать шаблоны уязвимостей автоматически. Тем не менее, в современных исследованиях рассматриваются только один или два типа функций и используются традиционные модели, например, word2vec, которые не учитывают большое количество информации на уровне инструкций. В этой статье предлагается модель SAViP для VP в бинарных программах.

https://habr.com/ru/companies/stc_spb/articles/774406/

#нейросети #семантика #уязвимости #вероятность #vulnerability_prediction #SAViP #эмбеддинги #безопасность_по #фаззингтестирование

[Перевод] Предварительная оценка вероятности наличия уязвимостей в программах с учетом семантики средствами нейронных сетей (2/3)

Полное название: Предварительная оценка вероятности наличия уязвимостей в программах в двоичном представлении с учетом семантики средствами нейронных сетей. Часть 1 Часть 3 Предварительная оценка вероятности наличия уязвимостей (vulnerability prediction, VP) в бинарных программах с использованием статического анализа является популярной темой исследований. Традиционные методы VP основаны на применении шаблонов уязвимостей, которые требуют трудоемкой разработки шаблонов уязвимостей силами экспертами по безопасности. Развитие искусственного интеллекта (ИИ) открыло новые возможности для VP. Нейронные сети позволяют обучать шаблоны уязвимостей автоматически. Тем не менее, в современных исследованиях рассматриваются только один или два типа функций и используются традиционные модели, например, word2vec, которые не учитывают большое количество информации на уровне инструкций. В этой статье предлагается модель SAViP для VP в бинарных программах.

https://habr.com/ru/companies/stc_spb/articles/774518/

#нейросети #семантика #уязвимости #вероятность #vulnerability_prediction #SAViP #эмбеддинги #фаззингтестирование