Fuzzing: Исследование уязвимостей методом грубой силы

Авторы - Майкл Саттон, Адам Грин, Педрам Амини

Фаззинг – это автоматизация тестирования безопасности, поэтому естественно, что многие фрагменты книги посвящены построению инструментов. Книга "Fuzzing: Исследование уязвимостей методом грубой силы", написанная Майклом Саттоном, Адамом Грином и Педрамом Амини является первой попыткой отдать должное фаззингу как технологии.

Сведений, которые даются в книге, достаточно для того, чтобы начать подвергать фаззингу новые продукты и создавать собственные эффективные фаззеры. Ключ к эффективному фаззингу состоит в знании того, какие данные и для каких продуктов нужно использовать и какие инструменты необходимы для управления процессом фаззинга, а также его контролирования. То, как лучше использовать эту книгу, зависит от ваших опыта и намерений. Если в фаззинге вы новичок, рекомендуется изучать книгу с начала, поскольку предполагалось вначале дать необходимую общую информацию, а затем перейти к более сложным темам. Однако если вы уже пользовались какими-либо инструментами для фаззинга, не бойтесь погрузиться именно в те темы, которые вас интересуют, поскольку различные логические разделы и группы глав во многом независимы друг от друга.

Часть I призвана подготовить площадку для отдельных типов фаззинга, которые будут обсуждаться в дальнейшем. Если в мире фаззинга вы новичок, считайте, что прочесть эти главы необходимо. Фаззинг можно использовать для поиска уязвимостей практически в любом объекте, но все подходы имеют почти одинаковые принципы. В части II сделан акцент на фаззинге отдельных классов объектов. Каждому объекту посвящено две-три главы. Первая из них содержит базовую информацию, специфичную для данного класса, а последующие рассказывают об автоматизации, подробно раскрывая процесс создания фаззеров для определенного объекта. Об автоматизации говорится в двух главах, если необходимо создать отдельные инструменты для платформ Windows и UNIX. Посмотрите, например, на трио «Фаззинг формата файла», начинающееся с главы 11, которая дает базовую информацию, связанную с фаззерами файлов. В главе 12 «Фаззинг формата файла: автоматизация под UNIX» подробно рассказывается о написании фаззера на платформе UNIX, а в главе 13 «Фаззинг формата файла: автоматизация под Windows» – о создании фаззера формата файла, который будет работать в среде Windows. В части III описываются продвинутые этапы фаззинга. Для тех, кто уже имеет значительный опыт фаззинга, уместным может быть переход прямо к этой части, в то время как большинство читателей, вероятно, предпочтет потратить время и на части I и II. В части III много внимания уделяется на тех технологиях, которые только входят в обращение, но в будущем станут важнейшими при обнаружении уязвимостей с помощью фаззинга. Наконец, в части IV суммируется все, что вы узнали в этой книге.

Издательство – Символ-Плюс

Год издания – 2009

Формат книги - PDF

Размер - 4,6 Мб

Fuzzing: Исследование уязвимостей методом грубой силы. Майкл Саттон, Адам Грин, Педрам Амини - скачать