Tout ce que vous avez toujours voulu savoir sur le fuzzing dirigé (sans jamais oser le demander)

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines


Résumé

Le fuzzing guidé par la couverture de code tel qu’AFL est une technique efficace pour la recherche de vulnérabilités. Cet article va présenter un nouveau type de fuzzing, le fuzzing dirigé, et ses applications pratiques au niveau du source et du binaire.


La plupart des programmes contiennent des bogues et par conséquent la découverte de bogues tôt est cruciale. L’essor récent du fuzzing dans le monde académique et l'industrie, comme OneFuzz [15] de Microsoft et OSS-Fuzz [11] de Google, montre sa capacité à détecter divers types de bogues dans une grande quantité de programmes du monde réel. Le fuzzing est une technique automatisée, simple, mais efficace en envoyant des entrées aléatoires à un programme dans l'espoir de détecter le bogue. American Fuzzy Lop (AFL) [1], développé par Michal Zalewski et maintenant maintenu par Google, est l'un des nombreux outils de fuzzing populaires.

Pour celui qui chercherait une introduction générale au fuzzing et les usages avancés d’AFL par exemple pour tester un démon réseau ou des implémentations d'opérations cryptographiques, veuillez lire les articles sur ce sujet publiés dans les hors-séries MISC n°11 [2] et n°17 [3]. Cet article vise à fournir des...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Où en est-on du Pearl Harbor numérique ?

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Domaines
Résumé

Emblème du marketing par la peur pour les uns, cygne noir pour les autres, cette appellation désigne l’éventualité d’une attaque informatique éclair contre un pays et qui serait paralysante pour son économie. Le terme fait couler de l’encre depuis au moins 20 ans [1] et nourrit moult fantasmes. Mais sont-ce des fantasmes ? D’aucuns diraient que si en 20 ans il ne s’est rien passé, c’est probablement qu’il y a eu un alarmisme exagéré.

Tests unitaires Java avec JUnit 5

Magazine
Marque
GNU/Linux Magazine
Numéro
246
Mois de parution
mars 2021
Domaines
Résumé

L’une des raisons de l’adoption massive de Java comme langage de programmation d’entreprises est la richesse et la facilité d’utilisation de son outillage. Parmi ces nombreux outils, le plus élémentaire que tout développeur débutant se devra d’apprendre presque immédiatement est bien sûr l’utilisation d’un « framework » de développement de tests unitaires. Présentation de l’un des plus anciens et populaires : le « framework » JUnit dans sa version 5.

Introduction à l’écriture de tests avec Erlang/OTP

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
113
Mois de parution
mars 2021
Domaines
Résumé

Les tests ont toujours été un facteur non négligeable de réussite lors de la conception d’un projet de développement. Ces différentes procédures, accompagnant généralement le code source, permettent d’augmenter grandement la qualité d’une application, qu’elle soit libre ou fermée. Même s’il est vrai qu’un programme ne peut-être testé dans son intégralité, les tests mis en place permettront de livrer à l’utilisateur final un système stable ainsi qu’une garantie de fonctionnement. Bien entendu, Erlang/OTP n’est pas en reste, et fournit aux développeurs tout un arsenal d’outils agissant sur l’excellence du produit.

Spectre, 3 ans après

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Domaines
Résumé

Spectre, et son pendant Meltdown, est une faille qui repose sur l’architecture moderne de nos processeurs. Dans cet article, nous verrons l’impact que cette vulnérabilité a eu sur le développement d’applications web.

La téléportation, de la fiction au SDN

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Domaines
Résumé

L’art de se téléporter n’est plus réservé au cinéma ! Suite au développement de nouveaux paradigmes tels que le SDN, facilitant le déploiement de firewalls, la sécurité du plan de données a considérablement augmenté. Mais est-il possible d’éviter ces points de passage pour exfiltrer des données entre deux extrémités d’un réseau ? Au lieu de chercher un trou dans le mur, ne serait-il pas plus simple de trouver un moyen de le contourner ? C’est là l’ambition des techniques de téléportation. Nous explorerons les différentes techniques exploitant ce concept, puis nous reproduirons l’une de celles-ci sur un contrôleur SDN, ONOS.