在本文中作者提出
在进行漏洞挖掘中,模糊测试已经成为了一种主流的漏洞挖掘工具。然而传统的fuzzer都是无状态的,这对于存在状态转换的网络协议模糊测试并不友好,同时,与传统的一些程序相比,网络传输时往往更容易被攻击。在基于状态的协议模糊测试提出之前,针对网络的模糊测试往往采用黑盒的方式,这导致产生的测试用例往往比较随意,并不能到达更深的代码覆盖。随着AFLNET的提出,基于状态的灰盒模糊测试开始越来越普遍的应用到协议模糊测试中。现有的较为优秀的基于状态的灰盒模糊测试包括AFLNET和STATEAFL,AFLNET假定协议在响应信息中存在特定的代码来表示状态,但并非所有协议都满足这一假设,同时仅仅使用响应码来表示状态也会导致对协议的评估并不准确;STATEAFL使用内存状态来表示服务状态,然而在进行状态收集和状态模型推理时需要将程序变量转储到一个分析队列中并对执行后结果进行分析才能实现对状态模型的更新,这也带来了额外的开销。
如上图所示为Bftpd协议,作者提到,网络服务往往会使用一些特定的变量来直接表示协议的状态,因此可以直接使用这样的变量来表示服务器状态。同时,如图中黄色边框所示代码,网络服务往往存在大量的I/O交互,而这部分功能往往由一个代码循环(event loop)来实现,因此,作者提出通过I/O同步机制来给fuzzer一个及时的反馈。基于此,作者提出了两个改进:
- 基于程序变量来表示服务器状态
- 引入I/O同步机制
网络服务包括三个阶段:
协议模糊测试主要集中在第二阶段服务处理阶段。
为如上图所示为NSFUZZ的整体框架,首先NSFUZZ进行静态分析获取状态变量列表和网络循环事件(用于确定I/O 同步点),执行编译时插装插入相应的信号来支持快速的I/O同步和基于变量的服务器状态跟踪。
通过上图的框架结构可知,NSFUZZ使用静态分析来确定Event loop和状态变量列表,并在静态分析时进行插装,其过程如下。
在进行静态分析时,主要确定两项内容:event loop 识别和状态变量提取。
在进行event loop识别时,识别事件循环的主要挑战是将其与网络服务程序中的其他循环区分开来,因为在实现中有太多不同的循环。一个典型的例子是在服务初始化阶段。许多服务可能使用文件 I/O 循环来读取配置。此外,事件循环本身也可能包含嵌套循环,这也给静态分析准确识别网络事件循环带来了困难。因此,我们在服务处理阶段跟踪网络 I/O 操作,并通过回溯来区分外部循环,以解决这些问题。
首先,当网络服务完成初始化并进入服务处理阶段时,在与输入相关的系统调用(如 read、 recv、 recvmsg 等)上设置断点。然后 Fuzzer 建立到 SUT (service under test)的套接字连接并发送探测消息。当命中断点时,SUT 保存函数调用堆栈的回溯跟踪。最后,我们将回溯作为静态分析器的辅助输入,以识别网络事件循环。静态分析器首先将服务中包含 I/O 操作的所有循环记录为候选循环,然后从底部(例如,libc start main)扫描回溯调用堆栈,以匹配包含 I/O 循环的第一个函数(外部函数) ,然后将其视为网络事件循环。这是因为在服务处理阶段,回溯只包含网络事件循环中的调用堆栈,而匹配包含 I/O 循环的外部函数也可以避免嵌套循环。
状态变量在静态分析时进行提取,在进行状态变量提取时,主要根据以下三个启发式规则来进行状态变量提取:
当获取了Event loop和状态变量列表,NSFuzz将会执行两种类型的插装,首先它会在Event loop的入口点插入raise(SIGSTOP)语句,使得被测试的服务可以在每个请求消息被处理之后向模糊器提供一个raise信号反馈,表示它已经准备好接受下一个消息请求。同时为了实时的将状态变量值反馈给fuzzer引擎,NSFuzz在每个状态变量中插装了一个STORE操作,使用被写入的状态变量的值作为key来更新与状态相关的内存共享。其映射方法如下:
首先NSFuzz将每个状态变量的ID值进行hash,接下来将该hash值和写入的当前状态值进行亦或操作(XOR),将XOR后的值作为索引来更新share_state(用于记录状态信息的共享内存)。
为了提高模糊测试效率,AFL引入了FORKSERVER来进行fork的创建和回收,AFLNET和STATEAFL都是基于AFL来实现的,当执行一个testcase时,他们首先通知 FORK-SERVER 创建一个进程进行模糊处理,然后依次按照手动指定的时间间隔发送每个请求消息,最后等待 FORKSERVER 在服务结束后通过通信管道写入执行结果。而NSFuzz实现了一个NET_FORKSERVER,通过它与反馈信号进行合作从而实现快速I/O同步,从而避免了手动指定的时间等待间隔,如下图所示,每次NSFuzz发送一个请求消息后,NET_FORKSERVER等待raised信号来判断目标是否已经完成了一轮I/O交互或者发生崩溃,并将这些信息发送给fuzzer。
当fuzzer接受到来自NET_FORKSERVER的消息处理结果后,它会计算共享状态缓冲区(shared_state)的哈希值,该值可以用于表示SUT的当前状态。因为如果消息导致状态发生改变,则某些状态变量的值必然发生改变,从而导致shared_state缓冲区中的值发生改变,因此fuzzer可以通过共享状态缓冲区的值来记录状态转换序列,以便在每次同步后推断状态转换模型。如下图所示,var1和var2分别表示不同的状态变量,当执行完信息收集后,这些状态变量发生改变导致shared_state发生改变,通过对shared_state缓冲区的值进行hash来记录一个新的状态转换S2。
为了测试NSFuzz的性能,作者从以下两个纬度来进行回答:
带着这两个问题,作者在profuzzbench中选择了以下五个协议,使用当前较为优秀的两个基于状态的fuzzer AFLNET和STATEAFL,以及一个支持网络服务的fuzzer AFLNWE来进行对比。
NSFuzz在各个协议中找到的状态变量的数量和所用时间如下图所示:
下图为各个fuzzer发现的状态模型中的状态数和边数:
以lightftp为例,TABLE II 显示了NSFuzz找到了一个状态变量Access,在TABLE III中NSFuzz发现了五个状态和12个状态之间的转换,通过手动分析Lightftp的源代码后,发现Access有4个常量来表示客户端用户的不同权限(NOT LOGGED IN,READONLY, CREATENEW, FULL),同时还包括一个额外的初始化状态,如下图所示:
而从说明NSFuzz可以精确地推测出于状态变量相关的状态和状态转换。另一方面,AFLNET 和 STATEAFL 在相同初始种子的情况下推导出的状态模型在模糊化结束时分别有23个顶点/158条边和11个顶点/47条边。然而,根据我们的手工分析,这些状态模型不能区分客户端用户的不同权限,这可能导致不完整的状态指导。此外,这些模型也难以反映与目标服务的明确关系。因此,在一定程度上,NSFuzz 推断的状态模型比其他工作更加准确和可解释。
为了验证NSFuzz的有效性,作者首先评估了各个fuzzer的吞吐量,如下图所示,以AFLNET作为参考,NSFuzz的吞吐量最高能达到50x,尽管AFLNWE也有较高的吞吐量,但是和NSFuzz比较,它的代码分支覆盖却很低(AFLNWE并非基于状态的fuzzer),同时也可以看到NSFuzz的分支覆盖平均性能也优于其他几个fuzzer。
如下图为各个fuzzer的分支覆盖和所用时间,通过对比可以发现NSFuzz能更快的发现更多的边,同时也有更高的边覆盖:
接下来作者还评估了各个fuzzer触发第一个bug所用的时间,如下图所示,可以明显的看到NSFuzz可以更快的触发bug:
性
以上为阅读这篇论文的笔记,然而由于本人水平有限,若文中存在一些技术问题说明错误,欢迎评论区留言更正!
文章浏览阅读135次。java计算机毕业设计旅游管理系统MyBatis+系统+LW文档+源码+调试部署。springboot基于springboot的音乐网站管理系统。springboot基于Java的图书借阅管理系统设计与实现。springboot基于springBoot仓库管理系统。jsp基于Web的鲜花采购及预定系统的设计与实现ssh。ssm基于Java智能选课系统的设计与实现。
文章浏览阅读905次。考勤管理点击组件-考勤管理,即可打开考勤管理系统。我的考勤月报打开考勤管理系统后,会展示我的考勤月报,您可以查看当月的考勤,如下图:考勤日历:以日历的形式展现当月的考勤结果,并以不同的颜色表示出勤状态。考勤汇总:用饼图展现考勤状态(出勤、请假、迟到、缺勤、申诉、工时不足)在本月所占的比例。上下班走势图:提供上班时间和下班时间的走势信息数据,用折线图展现上下班时间的趋势。右边可以查看排班时间表。我的..._vue考勤报表显示上下班
文章浏览阅读272次。一、BFC概念BFC全名为块级格式化上下文,它是一个独立的渲染区域,其内部的盒子如何布局只遵循块级格式化上下文的规则,不受外部元素的干扰二、如何定义BFC当前元素的float属性不为none 当前元素的position属性不为static和relative 当前元素的overflow属性不为visible 当前元素的display属性是inline-block、table-cell、flex、table-caption和inline-flex三、BFC的布局规则每个盒子都占一行,在垂
文章浏览阅读3.1w次。UbuntuCommunityAsk!DeveloperDesignHardwareShopMore ›Stack Exchangesign up log in Ask UbuntuQuestionsTagsTourUsers_the system is running in low-graphice mod
文章浏览阅读1.2k次。一、unittest框架基本介绍二、unittest框架解析三、unittest框架使用方法1.测试固件2.测试套件3.用例的执行顺序4.忽略测试用例中的方法5.unittest断言6.HTML报告生成_selenium unittest框架
文章浏览阅读2.3k次。国产免费数据建模和代码生成工具,新版增加了生成vue的JS脚本模板,默认采用ElementUI作为template界面_vue 数据模型软件
文章浏览阅读761次。摘要: 近日,Apache孵化器主席、Apache基金会成员、Dubbo & RocketMQ等开源项目的导师Justin Mclean来到阿里巴巴西溪园区,与众多开发者分享了如何打造一个Apache顶级项目,以及项目孵化过程会遇到的一些盲点和挑战。近日,Apache孵化器主席、Apache基金会成员、Dubbo & RocketMQ等开源项目的导师Justin Mclean来..._apache基金会项目申请
文章浏览阅读1.3k次。遇到BASE64的图片字符串应该如何转换成图片呢base64.b64decode(data)_go语言把base64转换成图片格式
文章浏览阅读166次。http://www.cnblogs.com/wuhuacong/p/3873498.html数据的导入导出,在很多系统里面都比较常见,这个导入导出的操作,在Winform里面比较容易实现,我曾经在之前的一篇文章《Winform开发框架之通用数据导入导出操作》介绍了在Winform里面的通用导入导出模块的设计和开发过程,但在Web上我们应该如何实现呢?本文主要介绍利用MVC4+Eas...
文章浏览阅读112次。1.JavaScript 语句(1)语句的作用(2)语句标识符2.代码和代码块儿(1)代码(2)代码块3.分号、空格和拆行(1)分号(2)空格(3)拆行4.单行注释和多行注释5.JS变量6.创建变量7.JS 数据类型(1)值类型(基本类型):(2)引用数据类型(对象类型):(3)动态类型8.字符串、数字、布尔、数组和对象等(1)字符串(2)数字(3)布尔(4)数组(5)对象...
文章浏览阅读2.1k次。C语言ASCLL码表介绍_c语言 \ ascll
文章浏览阅读4.1k次。 燕子去了,有再来的时候;杨柳枯了,有再青的时候;桃花谢了,有再开的时候;老婆离了,有再找的时候,孩子跑了,有回来的时候;煮熟的鸭子飞了,有飞回来的时候.一个函数没讲完就跳走了,有再回来的时候.其实,那些人,那些事,终究不曾远离.于是,她再一次进入我们的视野. 她就是usb_stor_control_thread().唤醒她的是来自queuecommand的up(&(us->sema)_unsigned soft : 1;