Fuzzing en Google

Ya hemos hablado de Fuzzing varias veces por aquí. Por eso me gustó ver lo que hacen en Google al respecto. Lo cuentan brevemente en Fuzzing at scale.
No todo el mundo tiene esos recursos, claro.

Otras veces que hemos hablado del tema:
Fuzzing en teléfonos móviles
Fuzzing, ciclos vacíos y fallos
JBroFuzz para hacer fuzzing
Fuzzing y cubrimiento de código.

Fuzzing en teléfonos móviles

Ya habíamos hablado antes de fuzzing, por ejemplo en Fuzzing, ciclos vacíos y fallos.

En [PDF] Fuzzing the Phone in your Phone podemos leer un artículo sobre el tema aplicado a teléfonos móviles (iPhone, Android y Windows Mobile): se generan SMS ‘confusos’ (fuzzed SMS messages) y se consigue lo esperable, que fallen cosas como por ejemplo, desconectar el teléfono de la red.

También hablamos en su día de ataques con SMSs a teléfonos concretos (y no en experimentos controlados, sino en el ‘mundo real’) en Nuevos ataques con SMSs.

Fuzzing, ciclos vacíos y fallos

En Microsoft runs fuzzing botnet, finds 1,800 Office bugs nos cuentan como Microsoft utliza los ordenadores que no están haciendo nada (‘idle cycles’) para hacer ‘Fuzzing’ y encontrar fallos en Office.

“We found and fixed about 1,800 bugs in Office 2010’s code,” said Gallagher, who last week co-hosted a presentation on Microsoft’s fuzzing efforts at the CanSecWest security conference in Vancouver, British Columbia. “While a large number, it’s important to note that that doesn’t mean we found 1,800 security issues. We also want to fix things that are not security concerns.”

Muy interesante la idea de utilizar la potencia de cálculo disponible para
probar estas cosas.

Visto en Microsoft Fuzzing Botnet Finds 1,800 Office Bugs.

Ya hablamos de Fuzzing el otro día en JBroFuzz para hacer fuzzing (y allí hay más enlaces). Creo que también de la idea de que las empresas empleen sus ciclos vacíos para cálculos que lo necesiten y también en la idea de la computación distribuida en general, por ejemplo en Una darknet en el navegador.

Dos tendencias que parece que están ganando terreno.

JBroFuzz para hacer fuzzing

En Fuzzing with OWASP’s JBroFuzz nos hablan de JBroFuzz, una herramienta para hacer fuzzing (pruebas de las interfaces de entrada enviándoles, esencialmente, basura) en aplicaciones web. Se trata de un proyecto de OWASP.

En Fuzzing y cubrimiento de codigo y en Hay que probar ya habíamos comentado ideas sobre ‘fuzzing’.

Fuzzing y cubrimiento de código

Ya habíamos hablado del Cubrimiento de código (‘code coverage’): cuando nuestro código no ejecuta todas las ramas posibles es que algo no es correcto (sobre todo en las fases de pruebas).
También habíamos hablado de ‘fuzzing’ (enviar basura a las interfaces de entrada para comprobar como se comporta nuestro programa) en Hay que probar.

En Using code coverage to improve fuzzing results nos proponen mezclar ambas para mejorar las pruebas que se hacen del código de un proyecto.

Hay que probar

En Secure Software Needs Careful Testing–And Lots Of It hay una ‘defensa’ del ‘fuzzing’ (probar las aplicaciones mandando ‘basura’ a las divesas interfaces de entrada para detectar posibles problemas y fallos).

Ya habíamos hablado en vidas anteriores del ‘fuzzing’ (¿alguna traducción por ahí?): Fuzz testing, MacOS, fuzzing y malos resultados y Fuzzing y JavaScript.