Fuzing යනු කුමක්ද?
හැඳින්වීම: Fuzing යනු කුමක්ද?
2014 දී චීන හැකර්වරු ප්රජා සෞඛ්ය පද්ධතිවලට අනවසරයෙන් ඇතුළු වී ඇත, ලාභ නොලබන එක්සත් ජනපද රෝහල් දාමයක් වන අතර මිලියන 4.5ක රෝගීන්ගේ දත්ත සොරකම් කර ඇත. හැක් කිරීමට මාස කිහිපයකට පෙර OpenSSL ගුප්ත ලේඛන පුස්තකාලයෙන් සොයා ගන්නා ලද Heartbleed නම් දෝෂයක් හැකර්වරුන් විසින් ප්රයෝජනයට ගන්නා ලදී.
Heartbleed යනු ප්රහාරක දෛශික පන්තියකට උදාහරණයක් වන අතර එය ප්රහාරකයන්ට මූලික චෙක්පත් සමත් වීමට තරම් වලංගු විකෘති ඉල්ලීම් යැවීමෙන් ඉලක්කයකට ප්රවේශ වීමට ඉඩ සලසයි. යෙදුමක විවිධ කොටස්වල වැඩ කරන වෘත්තිකයන් එහි ආරක්ෂාව සහතික කිරීම සඳහා ඔවුන්ගේ උපරිමය කරන අතර, යෙදුමක් බිඳ දැමිය හැකි හෝ සංවර්ධනයේදී එය අවදානමට ලක් කළ හැකි සියලුම කෙළවරේ අවස්ථා ගැන සිතිය නොහැක.
මෙතනදි තමයි 'Fuzing' එන්නේ.
Fuzsing Attack යනු කුමක්ද?
Fuzzing, fuzz testing, or fuzzing attack, යනු අහඹු, අනපේක්ෂිත, හෝ අවලංගු දත්ත (fuzz ලෙස හැඳින්වේ) වැඩසටහනකට පෝෂණය කිරීමට භාවිතා කරන ස්වයංක්රීය මෘදුකාංග පරීක්ෂණ ක්රමයකි. බෆරය පිටාර ගැලීම, බිඳ වැටීම්, මතක කාන්දුවීම්, නූල් එල්ලීම සහ කියවීමට/ලිවීම ප්රවේශ උල්ලංඝනය කිරීම් වැනි අසාමාන්ය හෝ අනපේක්ෂිත හැසිරීම් සඳහා වැඩසටහන නිරීක්ෂණය කෙරේ. අසාමාන්ය හැසිරීම් වලට හේතුව අනාවරණය කර ගැනීම සඳහා අපැහැදිලි මෙවලම හෝ ෆුසර් භාවිතා කරනු ලැබේ.
ව්යාකූල කිරීම පදනම් වී ඇත්තේ සියලු පද්ධතිවල සොයා ගැනීමට බලා සිටින දෝෂ අඩංගු වන අතර, ඒ සඳහා ප්රමාණවත් කාලයක් සහ සම්පත් ලබා දිය හැකි යැයි උපකල්පනය කිරීම මතය. බොහෝ පද්ධතිවල ඉතා හොඳ විග්රහ කරන්නන් හෝ ආදාන වලංගුකරණය වැලැක්වීම ඇත සයිබර් අපරාධකරුවන් වැඩසටහනක කිසියම් උපකල්පිත දෝෂ සූරාකෑමෙන්. කෙසේ වෙතත්, අප ඉහත සඳහන් කළ පරිදි, සංවර්ධනය අතරතුර සියලුම කෙළවරේ නඩු ආවරණය කිරීම දුෂ්කර ය.
ව්යුහගත ආදානය ලබා ගන්නා හෝ යම් ආකාරයක විශ්වාස මායිමක් ඇති වැඩසටහන් වල Fuzzers භාවිතා වේ. උදාහරණයක් ලෙස, PDF ගොනු පිළිගන්නා වැඩසටහනකට, ගොනුවේ .pdf දිගුවක් සහ PDF ගොනුව සැකසීමට විග්රහයක් ඇති බව සහතික කිරීමට යම් වලංගු භාවයක් ඇත.
ඵලදායි ෆසර් එකකට මෙම සීමාවන් ඉක්මවා යාමට තරම් වලංගු යෙදවුම් උත්පාදනය කළ හැකි නමුත් වැඩසටහනෙන් පහළට අනපේක්ෂිත හැසිරීමක් ඇති කිරීමට තරම් වලංගු නොවේ. මෙය වැදගත් වන්නේ වලංගු කිරීම් පසුකර යාමට හැකි වීම නිසා තවදුරටත් හානියක් සිදු නොවන්නේ නම් බොහෝ දේ අදහස් නොවන බැවිනි.
Fuzzers විසින් SQL එන්නත් කිරීම, හරස්-අඩවි ස්ක්රිප්ටිං, බෆර පිටාර ගැලීම සහ සේවා ප්රතික්ෂේප කිරීමේ ප්රහාර වැනි ප්රහාරක දෛශිකවලට බොහෝ සමාන සහ ඇතුළත් වේ. මෙම සියලු ප්රහාර අනපේක්ෂිත, වලංගු නොවන හෝ අහඹු දත්ත පද්ධතියකට පෝෂණය කිරීමේ ප්රතිඵලයකි.
Fuzzers වර්ග
සමහර ලක්ෂණ අනුව ෆසර් වර්ගීකරණය කළ හැකිය:
- ප්රහාර ඉලක්ක
- Fuzz නිර්මාණය කිරීමේ ක්රමය
- ආදාන ව්යුහය පිළිබඳ දැනුවත් කිරීම
- වැඩසටහන් ව්යුහය පිළිබඳ දැනුවත් කිරීම
1. ප්රහාර ඉලක්ක
මෙම වර්ගීකරණය පදනම් වී ඇත්තේ ෆසර් පරීක්ෂා කිරීමට භාවිතා කරන වේදිකාව මත ය. ජාල ප්රොටෝකෝල සහ මෘදුකාංග යෙදුම් සමඟ Fuzzers බහුලව භාවිතා වේ. සෑම වේදිකාවකටම ලැබෙන විශේෂිත ආදානයක් ඇති අතර, ඒ අනුව විවිධ වර්ගයේ ෆසර් අවශ්ය වේ.
උදාහරණයක් ලෙස, යෙදුම් සමඟ ගනුදෙනු කරන විට, පරිශීලක අතුරුමුහුණත, විධාන රේඛා පර්යන්තය, පෝරම/පෙළ ආදාන, සහ ගොනු උඩුගත කිරීම් වැනි යෙදුමේ විවිධ ආදාන නාලිකාවල සියලු අපැහැදිලි උත්සාහයන් සිදු වේ. එබැවින් fuzer මගින් ජනනය කරන ලද සියලුම යෙදවුම් මෙම නාලිකාවලට ගැළපිය යුතුය.
සන්නිවේදන ප්රොටෝකෝල සමඟ කටයුතු කරන Fuzzers පැකට් සමඟ කටයුතු කළ යුතුය. මෙම වේදිකාව ඉලක්ක කර ගන්නා Fuzzers හට ව්යාජ පැකට් ජනනය කළ හැකිය, නැතහොත් බාධා කළ පැකට් වෙනස් කිරීමට සහ ඒවා නැවත ධාවනය කිරීමට ප්රොක්සි ලෙස ක්රියා කළ හැකිය.
2. Fuzz නිර්මාණය කිරීමේ ක්රමය
Fuzzers ඔවුන් සමඟ අපැහැදිලි කිරීමට දත්ත නිර්මාණය කරන ආකාරය මත පදනම්ව ද වර්ග කළ හැක. ඓතිහාසික වශයෙන්, fuzzers මුල සිට අහඹු දත්ත උත්පාදනය කිරීම මගින් fuzz නිර්මාණය කළේය. මෙම තාක්ෂණයේ ආරම්භකයා වන මහාචාර්ය බාර්ටන් මිලර් එය මුලින්ම කළේ එලෙස ය. මෙම වර්ගයේ fuzer ලෙස හැඳින්වේ පරම්පරාව මත පදනම් වූ fuzer.
කෙසේ වෙතත්, කෙනෙකුට න්යායාත්මකව විශ්වාස සීමාවක් මග හරින දත්ත ජනනය කළ හැකි වුවද, ඒ සඳහා සැලකිය යුතු කාලයක් සහ සම්පත් ගතවනු ඇත. එබැවින් මෙම ක්රමය සාමාන්යයෙන් සරල ආදාන ව්යුහයන් සහිත පද්ධති සඳහා භාවිතා වේ.
මෙම ගැටලුවට විසඳුමක් නම් විශ්වාස සීමාවක් පසු කිරීමට තරම් වලංගු දත්ත උත්පාදනය කිරීම සඳහා වලංගු යැයි දන්නා දත්ත විකෘති කිරීම, නමුත් ගැටළු ඇති කිරීමට තරම් වලංගු නොවේ. මේ සඳහා හොඳ උදාහරණයක් වන්නේ අ DNS fuzer එය ඩොමේන් නාමයක් ගෙන පසුව සඳහන් කළ වසමෙහි හිමිකරු ඉලක්ක කර ඇති අනිෂ්ට වසම් හඳුනා ගැනීමට විශාල වසම් නාම ලැයිස්තුවක් ජනනය කරයි.
මෙම ප්රවේශය පෙර ප්රවේශයට වඩා බුද්ධිමත් වන අතර සිදුවිය හැකි ප්රගමනයන් සැලකිය යුතු ලෙස පටු කරයි. මෙම ක්රමය භාවිතා කරන Fuzzers ලෙස හැඳින්වේ විකෘති මත පදනම් වූ fuzzers.
අවදානම් මුලිනුපුටා දැමීමට අවශ්ය ප්රශස්ත අපැහැදිලි දත්ත අභිසාරී වීමට ජාන ඇල්ගොරිතම භාවිතා කරන තුන්වන වඩාත් මෑත ක්රමයක් තිබේ. වැඩසටහනකට සංග්රහ කරන විට එක් එක් පරීක්ෂණ දත්තවල ක්රියාකාරිත්වය සැලකිල්ලට ගනිමින් එහි නොපැහැදිලි දත්ත අඛණ්ඩව පිරිපහදු කිරීමෙන් එය ක්රියා කරයි.
නරකම ක්රියාකාරී දත්ත කට්ටල දත්ත සංචිතයෙන් ඉවත් කරන අතර හොඳම ඒවා විකෘති සහ/හෝ ඒකාබද්ධ වේ. නව පරම්පරාවේ දත්ත නැවත fuzz test කිරීමට භාවිතා කරයි. මෙම fuzzers ලෙස හැඳින්වේ පරිණාමීය විකෘති මත පදනම් වූ fuzzers.
3. ආදාන ව්යුහය පිළිබඳ දැනුවත් කිරීම
මෙම වර්ගීකරණය පදනම් වී ඇත්තේ fuzzer එකක් fuzz දත්ත උත්පාදනය කිරීමේදී වැඩසටහනක ආදාන ව්යුහය ගැන දැනුවත්ද සහ සක්රියව භාවිතා කරන්නේද යන්න මතය. ඒ ගොළු ෆසර් (වැඩසටහනක ආදාන ව්යුහය ගැන නොදන්නා fuzzer) බොහෝ දුරට අහඹු ආකාරයෙන් fuzz ජනනය කරයි. මෙයට පරම්පරාව සහ විකෘති පාදක ෆසර් යන දෙකම ඇතුළත් විය හැක.
ක්රමලේඛයක ආදාන ආකෘතිය සමඟ ෆසර් එකක් සැපයිය යුතු නම්, ෆසර්ට පසුව සපයා ඇති ආදාන ආකෘතියට ගැලපෙන දත්ත උත්පාදනය කිරීමට හෝ විකෘති කිරීමට උත්සාහ කළ හැක. මෙම ප්රවේශය වලංගු නොවන දත්ත උත්පාදනය කිරීමට වැය වන සම්පත් ප්රමාණය තවදුරටත් අඩු කරයි. එවැනි ෆසර් එකක් ලෙස හැඳින්වේ ස්මාර්ට් ෆසර්.
4. වැඩසටහන් ව්යුහය පිළිබඳ දැනුවත් කිරීම
Fuzzers ඔවුන් ව්යාකූල කරන වැඩසටහනේ අභ්යන්තර ක්රියාකාරිත්වය පිළිබඳව ඔවුන් දැනුවත්ද යන්න මත පදනම්ව වර්ගීකරණය කළ හැකි අතර, එම දැනුවත්භාවය අපැහැදිලි දත්ත උත්පාදනයට උපකාරී වේ. වැඩසටහනක් එහි අභ්යන්තර ව්යුහය තේරුම් නොගෙන පරීක්ෂා කිරීමට fuzzers භාවිතා කරන විට, එය කළු පෙට්ටි පරීක්ෂාව ලෙස හැඳින්වේ.
කළු පෙට්ටි පරීක්ෂණයේදී ජනනය වන Fuzz දත්ත සාමාන්යයෙන් අහඹු වේ, ෆුසර් යනු පරිණාමීය විකෘතිය මත පදනම් වූ ෆසර් එකක් නොවේ නම්, එහි නොපැහැදිලි කිරීමේ බලපෑම නිරීක්ෂණය කිරීමෙන් සහ එය භාවිතා කිරීමෙන් එය 'ඉගෙන ගනී' තොරතුරු එහි fuzz දත්ත කට්ටලය පිරිපහදු කිරීමට.
අනෙක් අතට සුදු පෙට්ටි පරීක්ෂාව අපැහැදිලි දත්ත උත්පාදනය කිරීම සඳහා වැඩසටහනේ අභ්යන්තර ව්යුහයේ ආකෘතියක් භාවිතා කරයි. මෙම ප්රවේශය ෆසර්ට වැඩසටහනක තීරණාත්මක ස්ථාන වෙත ගොස් එය පරීක්ෂා කිරීමට ඉඩ සලසයි.
ජනප්රිය ව්යාකූල මෙවලම්
බොහෝ ව්යාකූලතා තිබේ මෙවලම් පෑන පරීක්ෂකයන් විසින් භාවිතා කරනු ලැබේ. වඩාත්ම ජනප්රිය ඒවායින් කිහිපයක් නම්:
ව්යාකූලත්වයේ සීමාවන්
Fuzzing යනු සැබවින්ම ප්රයෝජනවත් පෑන පරීක්ෂා කිරීමේ තාක්ෂණයක් වුවද, එහි දෝෂ නොමැතිව නොවේ. මේවායින් සමහරක් නම්:
- එය ධාවනය කිරීමට සෑහෙන කාලයක් ගත වේ.
- වැඩසටහනක කළු පෙට්ටිය පරීක්ෂා කිරීමේදී සොයා ගන්නා බිඳවැටීම් සහ අනෙකුත් අනපේක්ෂිත හැසිරීම් විශ්ලේෂණය කිරීමට හෝ දෝෂහරණය කිරීමට නොහැකි නම් අපහසු විය හැක.
- ස්මාර්ට් විකෘති මත පදනම් වූ ෆසර් සඳහා විකෘති සැකිලි නිර්මාණය කිරීම කාලය ගත විය හැක. සමහර විට, ආදාන ආකෘතිය හිමිකාරී හෝ නොදන්නා නිසා එය කළ නොහැකි විය හැක.
එසේ වුවද, නරක මිනිසුන්ට පෙර දෝෂ සොයා ගැනීමට කැමති ඕනෑම කෙනෙකුට එය ඉතා ප්රයෝජනවත් සහ අවශ්ය මෙවලමකි.
නිගමනය
Fuzzing යනු මෘදුකාංගයේ ඇති දුර්වලතා අනාවරණය කර ගැනීමට භාවිතා කළ හැකි ප්රබල පෑන පරීක්ෂා කිරීමේ තාක්ෂණයකි. විවිධ වර්ගයේ fuzzers ඇත, සහ නව fuzzers සෑම විටම සංවර්ධනය වෙමින් පවතී. Fuzing යනු ඇදහිය නොහැකි තරම් ප්රයෝජනවත් මෙවලමක් වන අතර, එයට එහි සීමාවන් ඇත. උදාහරණයක් ලෙස, fuzzers බොහෝ දුර්වලතා පමණක් සොයා ගත හැකි අතර ඒවා බෙහෙවින් සම්පත් තීව්ර විය හැක. කෙසේ වෙතත්, ඔබට මෙම විස්මිත තාක්ෂණය ඔබම අත්හදා බැලීමට අවශ්ය නම්, අප සතුව ඇත ඔබට අපගේ වේදිකාවේ භාවිතා කළ හැකි නොමිලේ DNS Fuzer API.
ඉතින් ඔබ බලා සිටින්නේ කුමක්ද?
