En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Detectar vulnerabilidades en aplicaciones con técnicas de fuzzing.

La técnica del fuzzing consiste en realizar diferentes test de software capaces de generar y enviar datos secuenciales o aleatorios a una aplicación, con el objeto de detectar defectos o vulnerabilidades. El fuzzing sirve para encontrar vulnerabilidades del tipo: format string, integer overflow, buffer overflow, format string…

Para detectar vulnerabilidades en aplicaciones con técnicas de fuzzing podemos utilizar Fusil una biblioteca escrita en Python que sirve para crear programas de funzzing. Fusil se basa en una arquitectura de sistema multi-agente, tiene muchos tipos de pruebas para detectar fallos de programas: testear el código de salida de proceso, el stdout del reloj, el syslog de procesos, duración de sesión, uso de la CPU…

Fusil posee módulos para realizar técnicas de fuzzing de:

Aplicaciones:

  • fusil-clamav: ClamAV antivirus.
  • fusil-firefox: Firefox.
  • fusil-imagemagick: Image Magick.
  • fusil-mplayer: Mplayer.
  • fusil-ogg123: Ogg/Vorbis.
  • fusil-vlc: VLC.

Librerias:

  • fusil-gettext: Librería Gettext .
  • fusil-gstreamer: Librería Gstreamer .
  • fusil-libc-printf: Librería función printf().
  • fusil-poppler: Librería poppler.

Lenguajes programación:

  • fusil-php: Aplicaciones en PHP.
  • fusil-python: Aplicaciones en Python.

Otros:

  • fusil-wizzard: Comandos de Linux.
  • fusil-zzuf: Sockets de red.

Más información y descarga de Fusil:
https://pypi.python.org/pypi/fusil
Detectar vulnerabilidades en aplicaciones con técnicas de fuzzing. Detectar vulnerabilidades en aplicaciones con técnicas de fuzzing. Reviewed by Álvaro Paz on viernes, mayo 01, 2009 Rating: 5
Publicar un comentario en la entrada
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.