Огляд

Що таке fuzzing-тестування?

Fuzzing (фаззінг) — це автоматизований метод тестування програмного забезпечення, під час якого в систему навмисно подають некоректні, пошкоджені або нетипові вхідні дані.

Мета тестування — виявити уразливості, які не проявляються в стандартних сценаріях використання, але можуть призвести до збоїв у роботі сервісу, витоку інформації або порушення безпеки.

Далі розглянемо, де саме й для яких компонентів цей підхід застосовується на практиці.

Де застосовують фаззінг?

На практиці фаззінг застосовують у компонентах, що працюють із зовнішніми або напівдовіреними даними. Це можуть бути API та мережеві сервіси, парсери файлів і механізми обробки медіа.

Також фаззінг часто застосовують до серіалізації й десеріалізації об’єктів, драйверів і системних бібліотек. Саме ці частини системи найчастіше стають точкою входу для атак або причиною нестабільної поведінки в продакшені.

Коротка історія появи фаззінгу

Поняття фаззінг бере початок у 1980-х роках і пов’язується з дослідженнями професора Бартона Міллера. Під час експериментів із UNIX-системами він звернув увагу, що випадкові помилки у вхідних даних можуть призводити до аварійного завершення програм. Це спостереження підштовхнуло до ідеї систематично перевіряти програмне забезпечення шляхом подачі нетипових і випадкових даних.

Перші експерименти були досить простими: утиліти запускалися з великою кількістю випадкових параметрів, а тест вважався проваленим, якщо програма завершувалася з помилкою. 

Згодом підхід почав ускладнюватися, з’явилися інструменти для збереження результатів, повторення збоїв і аналізу причин помилок. Сьогодні фаззінг є визнаною практикою в галузі кібербезпеки та контролю якості програмного забезпечення.

Як працює фаззінг?

З технічного погляду фаззінг складається з кількох взаємопов’язаних етапів, які разом формують повний цикл тестування. Кожен етап важливий, оскільки від нього залежить якість результатів.

1. Генерація тестових даних — створення вхідних значень, які можуть порушити нормальну роботу програми.
   
2. Передача даних у систему — подача згенерованих значень у цільовий застосунок через файл, мережевий запит або інший інтерфейс.
   
3. Аналіз результату — фіксація збоїв, винятків, джерел пам’яті або некоректної поведінки.

На відміну від ручного тестування, фаззінг дозволяє перевіряти тисячі або навіть мільйони варіантів за короткий проміжок часу. Це особливо корисно для великих систем, де кількість можливих комбінацій вхідних даних практично неможливо охопити вручну.

Основні підходи до фаззінгу

На практиці фаззінг не є єдиним універсальним методом. Існує кілька підходів, які відрізняються способом формування тестових даних та рівнем знання внутрішньої логіки системи. 

Вибір конкретного підходу залежить від типу застосунку, доступу до коду та цілей тестування.

За способом генерації даних

Різні типи фаззінгу відрізняються підходом до створення вхідних даних, і вибір методу напряму впливає на ефективність тестування.

• Випадковий фаззінг — у систему подаються повністю випадкові дані. Такий підхід простий у реалізації, але часто обмежується перевірками формату та не доходить до складної логіки застосунку.
  
• Мутаційний фаззінг — базується на коректних прикладах вхідних даних, які поступово змінюються. Це дозволяє тестувати граничні значення, некоректні довжини полів або порушену структуру повідомлень.
  
• Генераційний фаззінг — використовує знання про формат файлів, протоколів або контрактів API. Такий підхід складніший у налаштуванні, але забезпечує більш системне покриття.

За рівнем доступу до системи

Фаззінг також класифікують залежно від того, яку інформацію інструмент має про внутрішню будову програми.

• Black-box — тестування через зовнішній інтерфейс без доступу до коду.
• Grey-box — використання додаткової інформації, наприклад покриття коду, для підвищення ефективності тестів.
• White-box — глибокий аналіз внутрішньої структури програми з інструментуванням і контролем виконання.

Переваги використання фаззінгу

Фаззінг дає змогу перевірити, як система поводиться в умовах, максимально наближених до реального використання, але з некоректними або непередбачуваними даними.

• Виявлення прихованих уразливостей. Багато критичних помилок не проявляються під час стандартних тестів.
• Автоматизація процесу. Після налаштування фаззінг може працювати автономно.
• Зниження ризику zero-day проблем. Цей підхід активно використовують зловмисники, тому його застосування з боку розробки є обґрунтованим кроком.
• Покращення якості коду. Результати фаззінгу часто вказують на слабкі місця в архітектурі.

Обмеження та недоліки

Попри свої переваги, фаззінг не є універсальним рішенням і має низку обмежень.

• Не всі помилки призводять до аварійного завершення програми.
• Потреба в якісному аналізі результатів і логів.
• Витрати обчислювальних ресурсів.
• Складність роботи зі структурованими форматами без додаткових налаштувань.

Як застосовувати фаззінг на практиці?

Щоб фаззінг давав стабільний результат, важливо впроваджувати його поетапно.

1. Визначте конкретну ціль тестування.
2. Оберіть підхід і відповідний інструмент.
3. Підготуйте набір коректних вхідних даних.
4. Налаштуйте критерії фіксації помилок.
5. Запустіть тестування та зберігайте всі артефакти.
6. Проаналізуйте результати й усуньте знайдені проблеми.
7. Додайте виявлені кейси до регресійних перевірок.

Інструменти для фаззінгу

Для впровадження фаззінгу на практиці використовують різні інструменти — як з відкритим кодом, так і комерційні рішення. Вони відрізняються за рівнем автоматизації, підтримуваними мовами програмування та типами даних, з якими працюють.

• AFL / AFL++ 

Один із найвідоміших інструментів фаззінгу, який широко застосовують для програм на C і C++. Він працює за принципом поступової зміни вхідних даних і добре підходить для пошуку помилок у парсерах, бібліотеках та низькорівневих компонентах.

• libFuzzer

Інструмент, що інтегрується безпосередньо в код застосунку через LLVM. Дає змогу фаззити окремі функції або модулі, отримуючи детальну інформацію про покриття коду та місце виникнення помилки. Часто використовується під час розробки та тестування бібліотек.

• OSS-Fuzz 

Платформа для безперервного фаззінгу open source проєктів. Вона автоматизує запуск фаззерів, збирання результатів і повідомлення про знайдені уразливості. OSS-Fuzz активно застосовують для тестування критично важливих бібліотек і системних компонентів.

• Burp Suite Intruder 

Інструмент для тестування вебзастосунків, який дозволяє перевіряти обробку параметрів HTTP-запитів. Його часто використовують для фаззінгу форм, API та механізмів автентифікації з фокусом на безпеку.

• ZAP 

Інструмент для тестування вебзастосунків із відкритим кодом, що підтримує фаззінг параметрів запитів і відповідей. Підходить для базових перевірок безпеки та аналізу типових вебуразливостей.

• Peach Fuzzer 

Універсальний інструмент, який застосовують для тестування протоколів, API та форматів файлів. Дає змогу описувати структуру даних і створювати контрольовані тестові сценарії для складних систем.

А що тримає інтернет живим? Це HTTP/3. В цьому матеріалі ми детальніше пояснили, як він працює та для чого потрібен.

Вибір інструменту залежить від типу застосунку, мови програмування та рівня складності системи. Для низькорівневих компонентів і бібліотек зазвичай обирають AFL або libFuzzer, тоді як для вебзастосунків і API більш доречними є Burp Suite чи OWASP ZAP. У великих проєктах інструменти часто комбінують, щоб отримати ширше покриття.

Підсумок

Фаззінг — це практичний спосіб перевірити програмне забезпечення на стійкість до некоректних і несподіваних даних. Він дозволяє виявляти проблеми, які складно передбачити під час класичного тестування, і знижує ризик інцидентів у робочому середовищі.