问题标签 [fuzzing]

任何人都可以推荐任何对程序员友好（即可扩展）的框架或系统来执行网络级数据包模糊测试吗？

我正在寻找这样一个系统，我可以在其中以其他数据包格式进行编程，并以与协议相关的方式破坏这些数据包的各种方式。

我知道如何谷歌。我正在寻找具体的建议:)

谢谢！

是否有任何用于 Java 的模糊器库？

我想在现有的基于 Web 的 Java 自动化集成测试中加入模糊测试功能。我已经做了很多搜索，但是对于支持 HTTP/S 的库来说，我是空的。有很多 Python 工具，但我想坚持使用 Java，因为这是程序员正在使用的。

JBroFuzz本质上具有我需要的模糊测试功能，但我需要一个 API，他们还没有发布。

我正在寻找一种自动化的方式来模糊我的应用程序或扫描它的漏洞。请假设我的黑客知识为 0。而且源在我的本地主机上，所以我需要一种方法来在本地对其进行模糊测试，而不依赖于互联网连接。一些安全专家可以给我一些提示或建议吗？我不确定哪些选项是最好的。

编辑：

感谢您努力回答，但到目前为止似乎没有人明白这一点。我想更具体一点（因为它有助于解决问题），但不会影响意见或听起来像是在宣传特定产品。我正在寻找类似wapiti之类的东西（很抱歉提及名称，但不得不这样做，因为到目前为止，诸如了解 sql 注入、xss 等的答案显然不是这个问题的真正“专家”答案。我已经知道这些（认真，这个问题听起来像是不知道安全的人会问吗？）

我不是在问我是否应该测试，我是在问我应该如何测试。我已经决定加入自动化（除非有人给我一个证明它无用的专家答案，否则这个决定没有回头路），所以请尊重我想要自动化的决定。我不想浏览每一个编译的 xss、sql 注入等黑客列表，并亲自针对我的网站手动尝试（即使黑客也不会那样破解）。超级加分给任何得到问题的人。

有人问为什么不学习。 最佳实践（我知道）与了解黑客攻击不同。有些人想争辩说他们是抛硬币，但我绝对不同意 :) 因此我需要一个具有“黑客心态”的人提供的保护工具。这会有什么伤害，事实上，您也应该尝试一下；）请知道的人提供专家答案。

如何执行模糊测试策略来强调网络堆栈，特别是在第三和第四层（网络和传输）？我看过生成模糊器的框架，比如 SPIKE，但在我看来，它们主要集中在应用层及以上？是否有任何众所周知的技术可以模糊这些层中的知名协议，例如 TCP？

谢谢。

我需要一个 JavaScript 中的随机对象生成器，它可以生成具有不同字段和值的各种对象。有什么想法可以找到这样的工具吗？

我需要生成具有各种复杂性的随机对象。我的目标是使用 JSON 来序列化这些对象并模糊测试我的应用程序 http api。

我想知道是否有一种工具或技术可以在给定 BNF 语法的情况下随机（但智能地）调整它并生成输出流以用于检测超出 BNF 的情况（但不应该）。

编辑：换句话说，模糊测试解析器。

谢谢

我有一个 ANTLR 语法，我想模​​糊我的解析器。

我正在尝试使用这个库： http: //pastebin.com/xgPXpGtw（使用示例：http: //pastebin.com/fNFAW3Fh）我有一些问题，因为我不想在一个数组中拆分所有字节就像他一样。

我的测试脚本如下所示：

实际上返回：

那么我应该怎么做才能在测试参数上使用该功能？

谢谢 ！

我无法遍历整个 unicode 字符范围。

我到处找...

我正在构建一个模糊器，并希望将所有 unicode 字符（一次一个）嵌入到一个 url 中。

例如： http://www.example.com?a=\uff1c

我知道有一些内置工具，但我需要更多的灵活性。

如果我能做类似以下的事情："\u" + "ff1c"那就太好了。

这是我得到的最接近的：

但是在"\u0039"数字 9 之后，我会得到“10”而不是“：”

据任何人所知，Delphi Win32 VCL 是否曾经进行过模糊测试？