Fuzzing

Fuzzing

Le fuzzing est une technique pour tester des logiciels. L'idée est d'injecter des données aléatoires dans les entrées d'un programme. Si le programme échoue (par exemple en crashant ou en générant une erreur), alors il y a des défauts à corriger. Exemples de point d'entrée d'un programme :

Le grand avantage du fuzzing est que l'écriture de tests est extrêmement simple, ne demande aucune connaissance du fonctionnement du système et permet de trouver des vulnérabilités facilement. D'ailleurs, le fuzzing est également utilisé pour traquer des failles de sécurité ou dans la rétro-ingénierie.

La première trace du fuzzing est la publication datant du 12 décembre 1990 : « An Empirical Study of the Reliability of UNIX Utilities » [1] écrite par Barton P. Miller, Lars Fredriksen, et Bryan So. Le résumé indique que durant les essais ils ont été capables de crasher 25 à 33% des programmes utilitaires de n'importe quelle version d'UNIX ». Le rapport présente les outils de test mais également l'origine des erreurs.

Le fuzzing est tellement simple à utiliser et efficace pour trouver des vulnérabilités que le chercheur en sécurité informatique Charlie Miller a refusé de dévoiler les vulnérabilités zero day trouvées dans le code de logiciels célèbres (contrairement au règlement du concours de sécurité informatique Pwn2own), afin de protester contre les éditeurs qui n'utilisent pas assez cette technique simple selon lui[1].

Inversement au fuzzing qui est une méthode de test par boîte noire, la méthode de test par boîte blanche analyse un système dont on connaît exactement le fonctionnement.

Références

Liens externes

Test TestGénie logicielPrise d'empreinte de la pile TCP/IP
Outils FuzzingRétro-ingénierieBoîte blancheBoîte noireCryptanalyse
Attaque Dépassement de tamponAttaque de l'homme du milieu
Protection Sécurité par l'obscurité
Normes ISO/CEI 17799270012700227006

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Fuzzing de Wikipédia en français (auteurs)

Игры ⚽ Поможем сделать НИР

Regardez d'autres dictionnaires:

  • Fuzzing — Dieser Artikel wurde aufgrund von inhaltlichen Mängeln auf der Qualitätssicherungsseite der Redaktion Informatik eingetragen. Dies geschieht, um die Qualität der Artikel aus dem Themengebiet Informatik auf ein akzeptables Niveau zu bringen. Hilf… …   Deutsch Wikipedia

  • fuzzing — noun Fuzz testing …   Wiktionary

  • Fuzzing — Пыление (бумаги) …   Краткий толковый словарь по полиграфии

  • fuzzing — fÊŒz n. cotton, fluff, lint; police, cop (Slang) v. cover with fuzz, become fuzzy …   English contemporary dictionary

  • fuzzing —  a splinter. N …   A glossary of provincial and local words used in England

  • Fuzz testing — Fuzzing redirects here. For other uses, see Fuzz (disambiguation). Fuzz testing or fuzzing is a software testing technique, often automated or semi automated, that involves providing invalid, unexpected, or random data to the inputs of a computer …   Wikipedia

  • Fuzzer — Fuzzing Le fuzzing est une technique pour tester des logiciels. L idée est d injecter des données aléatoires dans les entrées d un programme. Si le programme échoue (par exemple en crashant ou en générant une erreur), alors il y a des défauts à… …   Wikipédia en Français

  • Codenomicon — Type Privately held company Founded 2001 Headquarters Oulu, Finland Area served worldwide Products …   Wikipedia

  • Audit de sécurité — L audit de sécurité d un système d information (SI) est une vue à un instant T de tout ou partie du SI, permettant de comparer l état du SI à un référentiel. L audit répertorie les points forts, et surtout les points faibles (vulnérabilités) de… …   Wikipédia en Français

  • Mutation testing — For the biological term, see: Gene mutation analysis. Software Testing portal Mutation testing (or Mutation analysis or Program mutation) is a method of software testing, which involves modifying programs source code or byte code in small ways …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”