คลังเก็บป้ายกำกับ: FUZZING

Microsoft เปิดโอเพ่นซอร์สเครื่องมือทำ Fuzzing ของตน ‘OneFuzz’

Microsoft ได้ประกาศเปิดเผยเฟรมเวิร์กสำหรับทำ Fuzzing ของตนที่ใช้กันภายในที่ชื่อ OneFuzz

Fuzzing เป็นการหาช่องโหว่หรือบั๊กโดยการอัดข้อมูลในรูปแบบไม่ปกติต่างๆ เข้าไปในแอปและดูผลตอบสนอง ทั้งนี้ Microsoft ได้พัฒนาเครื่องมือของตนขึ้นมาใช้ภายในกับ Windows, Edge และผลิตภัณฑ์อื่นๆ มาก่อน ภายใต้โปรเจ็คที่ชื่อ OneFuzz

โดยวันนี้มีการเปิดเป็นโอเพ่นซอร์สให้ศึกษาได้ฟรีบน GitHub ทั้งนี้ Microsoft คุยว่าเครื่องมือจะสามารถใช้ได้ทั้ง Windows และ Linux ซึ่งตนได้ออกแบบมาให้แก้ปัญหาความท้าทายต่างๆ ในการทำ Fuzzing ที่หวังจะช่วยนักพัฒนานำไปใช้ทดสอบกับงานของตนได้ไม่มากก็น้อย

ที่มา : https://www.securityweek.com/microsoft-releases-open-source-fuzzing-framework-azure

from:https://www.techtalkthai.com/microsoft-opensource-its-fuzzing-project-onefuzz/

Google ออกบริการฟรี ‘FuzzBench’ สำหรับวัดประสิทธิภาพของ Fuzzer

Google ได้ปล่อย FuzzBench หรือบริการโอเพ่นซอร์สสำหรับประเมินประสิทธิภาพของ Fuzzer เพื่อตอบโจทย์ในด้านของงานวิจัยในงานด้าน Fuzzing

credit : github.com/google/fuzzbench

Fuzzing คือเทคนิคในการทดสอบซอฟต์แวร์เพื่อหา Bug ส่วน Fuzzer คือเครื่องมือที่ใช้เพื่อหา Bug ของซอฟต์แวร์ 

โดยประเด็นคือทาง Google มองว่างานวิจัยด้าน Fuzzing ยังขาดคุณภาพหรือมี Cost ในการทดสอบสูง เช่นข้อจำกัดทางด้านชุดข้อมูล หรือ Resource ที่ต้องใช้ในการทำ Benchmark คุณภาพของวิธีการ ซึ่ง Google อยากทำให้เกิดการเปรียบเทียบที่มีผลใช้ได้กับโปรแกรมทั่วไป ด้วยเหตุนี้เองจึงเปิดบริการ FuzzBench ให้ผู้สนใจได้มาใช้งานฟรี ซึ่งทาง Google คุยว่าได้เปิด API ที่ต้องเพิ่มโค้ดเพื่อใช้งานแค่ไม่เกิด 50 บรรทัด รวมถึงจะสามารถออกรายงานผลเปรียบเทียบประสิทธิภาพของ Fuzzer ที่คล้ายกัน พร้อมกับวิเคราะห์เรื่องจุดแข็งจุดอ่อน

นอกจากนี้ Google ยังได้ Integrate Fuzzer เข้ามามากกว่า 250 โปรเจ็ค เช่น AFL, LibFuzzer, Honggfuzz รวมถึงเครื่องมือจากฝั่งภาคการศึกษาเช่น QSYM และ Eclipser เป็นต้น อย่างไรก็ตาม Google ยังเล็งที่จะสร้าง Community ด้านนี้ให้ใหญ่ขึ้นด้วยการเชิญสมาชิกทีมงานวิจัยที่สนใจในเรื่อง Fuzzing เข้ามา ศึกษาเพิ่มเติมได้ที่ GitHub

ที่มา :  https://www.securityweek.com/google-launches-free-fuzzer-benchmarking-service

from:https://www.techtalkthai.com/google-launches-fuzzer-benchmarking-as-a-service-fuzzbench/

Google เป็นโอเพ่นซอร์สแพลตฟอร์ม Fuzzing

Google ได้ปล่อยโค้ดแพลตฟอร์ม Fuzzing ของตนหรือ ClusterFuzz ไว้บน GitHub ทำให้นักพัฒนาสามารถเข้าไปศึกษาเพิ่มเติมได้

credit : google.github.io

Fuzzing หรือ Fuzz testing คือการใช้ซอฟต์แวร์เพื่อมาทดสอบโค้ดโดยอัตโนมัติซึ่งทาง Google ได้สร้างซอฟต์แวร์ชนิดนี้ขึ้นมากว่า 8 ปีแล้ว โดยสามารถทำงานอัตโนมัติต่างๆ เช่น ตรวจหาบั้ก, Bisection, Deduplication และทำรายงาน นอกจากนี้เมื่อ 2 ปีที่แล้วยังได้ประกาศเป็นบริการฟรีอีกด้วย สำหรับผลงานที่ผ่านมา ClusterFuzz สามารถค้นหาช่องโหว่บน Chrome ได้กว่า 16,000 รายการและ 11,000 รายการในโปรเจ็คโอเพ่นซอร์สอื่นๆ

จากการประกาศครั้งนี้ผู้สนใจสามารถเข้าไปติดตาม ClusterFuzz ได้บน GitHub ซึ่งสามารถนำไปติดตั้งบนเครื่องในกลุ่มของคอมพิวเตอร์ได้แม้ว่าตัวใช้งานจริงจะวางอยู่บน Google Cloud

ที่มา : https://www.securityweek.com/google-open-sources-fuzzing-platform

from:https://www.techtalkthai.com/google-opens-clusterfuzz-on-github/