Methods of generating test data for carrying out the fuzzing process

• Autorzy: Pachnik Marcin

Identyfikatory

DOI

10.5604/01.3001.0013.6603

Warianty tytułu

EN

Metody generowania danych testowych służących do przeprowadzania „fuzz testing”

• Języki publikacji: EN

Abstrakty

EN

The article presents and compares modern methods of generating test data in the process of automatic software security testing, so called fuzz testing. The publication contains descriptions of methods used, among others, in local, network or web applications, and then compares them and evaluates their effectiveness in the process of ensuring software security. The impact of the quality of test data corpus on the effectiveness of automated security testing has been assessed.

PL

W artykule przedstawiono i porównano współczesne metody generowania danych testowych automatycznego testowania bezpieczeństwa oprogramowania, tzw. fuzz testing. W publikacji zawarto opisy metod stosowanych m.in. w aplikacjach lokalnych, sieciowych czy webowych, a następnie dokonano ich porównania i oceny skuteczności w procesie zapewniania bezpieczeństwa oprogramowania. Oceniony został wpływ jakości korpusu (zbioru) danych testowych na efektywność przeprowadzania zautomatyzowanych testów bezpieczeństwa.

Słowa kluczowe

EN

fuzzing; test data corpus; security vulnerabilities

PL

fuzzing; korpus danych testowych; błędy bezpieczeństwa

• Wydawca: Institute of Computer and Information Systems, Faculty of Cybernetics, Military University of Technology
• Czasopismo: Computer Science and Mathematical Modelling
• Rocznik: 2019
• Tom: No. 9
• Strony: 27--32
• Opis fizyczny: Bibliogr. 13 poz., schem., tab.

Twórcy

autor

Pachnik Marcin

• Military University of Technology, ul. Kaliskiego 2, 01-489 Warsaw, Poland

Bibliografia

• [1] Takanen A., Demott J.D., Miller C., Fuzzing for Software Security Testing and Quality Assurance, Artech House, Norwood, 2008.
• [2] So B., Fredriksen L., Miller B.P. “An empirical study of the reliability of UNIX utilities”, Communications of the ACM, Vol. 33, 32–44 (1990).
• [3] Schumilo S., Aschermann C., Gawlik R., Schinzel S., Thorsten H., “kAFL: Hardware-assisted feedback fuzzing for OS kernels”, in: Proceedings of the 26th USENIX Security Symposium, pp. 167–182, 26th USENIX Security Symposium, Vancouver, BC, Canada, August 16–18, 2017.
• [4] Böck H., How Heartbleed could’ve been found 2015, https://blog.hboeck.de/archives/868-How-Heartbleed-couldve-been-found.html.
• [5] Josef Nelißen, Buffer Overflows for Dummies, SANS Institute, Swansea, 2002.
• [6] Li J., Zhao B., Zhang Ch., “Fuzzing: a survey”, Cybersecurity, Vol. 1, 1–13, (2018).
• [7] Zeller A., Gopinath R., Böhme M., Fraser G., Holler Ch., Generating Software Tests, https://www.fuzzingbook.org/.
• [8] Veggalam S., Rawat S., Haller I., Bos H., “Ifuzzer: An evolutionary interpreter fuzzer using genetic programming”, Lecture Notes in Computer Science, Vol. 9878, 581–601 (2016).
• [9] Zalewski M., Technical “whitepaper” for afl-fuzz, http://lcamtuf.coredump.cx/afl/technical_details.txt.
• [10] Software in the Public Interest, Inc. – Debian Project C++ g++ versus Python 3 fastest programs, https://benchmarksgame-team.pages.debian.net/benchmarksgame/fastest/python3-gcc.html.
• [11] Matsumoto M., Takuji Nishimura, “Mersenne twister: a 623-dimensionally equidistributed uniform pseudo-random number generator”, ACM Transactions on Modeling and Computer Simulation, Vol. 8, No. 1, 3–30 (1998).
• [12] Lattner C., Adve V., “LLVM: a Compilation Framework for Lifelong Program Analysis & Transformation”, in: Proceedings of the International Symposium on Code Generation and Optimization, Palo Alto California, USA, March 21–24, 2004.
• [13] Zalewski M., afl-generated, minimized image test sets, http://lcamtuf.coredump.cx/afl/demo.

Uwagi

Opracowanie rekordu w ramach umowy 509/P-DUN/2018 ze środków MNiSW przeznaczonych na działalność upowszechniającą naukę (2019).