AWS發布新開源專案Snapchange 高效快照模糊測試
記者/竹二
亞馬遜公司旗下的子公司亞馬遜雲端運算服務(AWS)近日發布新的開源專案Snapchange,提供開發者可以將快照模糊測試簡單的整合到自己的專案,還可以在EC2英特爾處理器的裸機執行個體上運作。
而所謂的Snapchange,是一個用來建構模糊測試工具的Rust框架,可以重播實體記憶體快照,高效對目標進行模糊測試。模糊測試則是一種自動化軟體測試技術,透過對目標程式一系列隨機的輸入,試圖引發程式錯誤、漏洞,好藉此發現程式中未知的漏洞。
至於快照模糊測試,是指透過將系統和應用程式的記憶體狀態保存下來,在後續測試中,重複使用這些裝態,讓開發者可以在相同的條件下多次執行測試,進而找出程式發生錯誤的原因。
Snapchange專案讓開發者只要對目標二進位檔案進行少量的修改,就可以開始進行模糊測試,找出系統臭蟲,只不過Snapchange仰賴KVM快照,因此需要在有KVM存取權限的機器上執行,並且只支援x64主機,可用於EC2英特爾處理器的裸機執行個體。
開發者可以同時在多個CPU核心上進行模糊測試,提高測試的效率和速度,Snapchange還能同時監控測試結果,當程式發生崩潰時,能立刻偵測並且回報用戶,並將虛擬機器將恢復到乾淨狀態,為下一次的輸入做準備。
據了解,Snapchange最初是由AWS Find and Fix開源安全研究團隊所開始的一項實驗性專案,目的是為了探索KVM快照模糊測試的潛力,而現在Snapchange已經成為一個可供研究人員和開發人員,試驗快照模糊測試的專案。
瀏覽 623 次