搜索中心

模糊测试（Fuzz Testing），也称为模糊验证或模糊分析，是一种自动化的软件测试技术，用于发现软件中的安全漏洞和错误。这种方法通过自动生成大量随机的、异常的或半异常的输入数据（称为“模糊数据”或“模糊输入”），并将这些数据输入到程序中，观察程序是否能够正确处理这些输入，或者是否会因此产生崩溃、异常行为或其他安全问题。

本文将带您进入Linux软件库Fuzzing的世界，向您展示如何利用Fuzzing技术，挖掘和发现潜在的安全漏洞，以提高软件库的安全性和可靠性。

对网络协议模糊测试迭代中时间消耗分布的详细分析后，作者发现协议模糊测试的效率可以在多个方面得到极大提升，并设计了一个名为HNPFuzzer的高速网络协议模糊测试框架。

一种自动化的模糊测试目标（fuzz target）生成技术

在本文中，我们提出了一个名为UTOPIA的开源工具和分析算法，可以从现有的单元测试中自动合成有效的模糊测试驱动器，几乎不需要人工参与。

针对当前智能合约模糊测试技术中存在的问题，IR-Fuzz框架提出了一种包含了调用序列和重要分支重新访问的全自动模糊测试技术。

PromptFuzz通过提示模糊测试生成模糊测试驱动程序，这是一种基于大型语言模型（LLM）的新型模糊测试循环。

预览

预览

预览

预览

1.4k人阅读

2024-08-08

本文主要工作： 实现了一个LLM引导的协议模糊器。提出三种基于LLM的模糊器变异策略，每种策略解决了协议模糊测试的特定挑战。本文实现了灰盒模糊测试算法并命名为CHATAFL。目前该工具已在github开源。

为解决REST API模糊测试工具的局限性并提高其错误发现性能，提出一种混合数据驱动方法，包括三个新设计，有助于发现由长请求序列触发的安全漏洞并探索不正确的参数使用错误。

本文设计了一个新的基于快照的智能合约模糊测试工具 ItyFuzz，用于有效地存储中间状态以减少重复执行的开销，实现了两种自定义的路径反馈机制，以高效地对有趣的状态进行分类和存储，实现更好的程序探索。

Fuzz4All通过代码示例和生成策略的迭代更新初始输入提示，旨在生成多样化的模糊测试输入。

SDFUZZ是一种由目标状态驱动的高效定向模糊测试器，通过消除不必要的代码和提前终止无法达到目标状态的执行来排除不必要的探索，更快地触发漏洞。

本文提出并实现了TitanFuzz，第一个通过大型预训练语言模型对深度学习库进行模糊测试的例子。展示了直接利用现代LLM进行模糊测试的前景。

设计了原型工具AFGEN，它可以对任意函数直接进行模糊测试，有效识别漏洞并生成测试代码

Java反序列化漏洞在实践中严重威胁。研究人员提出了静态分析解决方案来定位候选漏洞和模糊解决方案，以生成概念验证 (PoC) 序列化对象以触发它们。在本文中，我们提出了一种新的混合解决方案ODDFUZZ来有效地发现Java反序列化漏洞。

VLMs 实际上都「近视」，图片的细节在它们看来实际是模糊的

智能家居安全摄像头Wyze Cam v3存在多个严重漏洞；快照模糊测试；MacOS隐私机制漏洞

厂商

开源网安

365

0

开源网安创立于2013年，是中国软件安全行业创领者、网络安全百强企业。

渗透测试（Penetration Testing，也称为Pen Testing或Ethical Hacking），是一种模拟攻击者行为的安全评估方法，目的是在获得授权的情况下，通过模拟恶意黑客的攻击手段来评估组织的网络安全状况。渗透测试通常由专业的安全顾问或内部安全团队执行，他们使用各种技术和工具来识别和利用系统的安全漏洞。

厂商

海云安

506

0

深圳海云安网络安全技术有限公司成立于2015年，是一家专注于AI大模型赋能安全左移的国家级高新技术企业和专精特新企业。

入侵与攻击模拟（BAS）是一种先进的安全技术，旨在通过自动化的方式持续地模拟对企业资产的多种攻击手段，以验证企业的防御措施的有效性。BAS技术的出现为企业机构提供了持续性的防御态势评估，弥补了渗透测试等跨周期定点评估所提供的有限可视性。

DAST，即动态应用安全测试（Dynamic Application Security Testing），是一种网络安全测试方法，专注于在应用程序运行时检测安全漏洞。DAST工具模拟黑客攻击，从外部对系统进行黑盒测试，以识别应用程序在实际运行中可能遭受的安全威胁和弱点。

厂商

长亭科技

4.3k

3

长亭科技是国际顶尖的技术驱动型网络安全公司，专注为企业级用户提供高质量的应用安全防护解决方案，为企业用户带来更简单、更智能、更省心的安全产品及服务。

厂商

四叶草安全

1.1k

0

西安四叶草信息技术有限公司（简称：四叶草安全）是一家实战创新型网络安全企业，由马坤创办于2012年。

厂商

保旺达

525

0

公司以“创造更安全的数字未来"为使命，基于自主创新技术做精做深全系数据安全产品。

厂商

青藤云安全

716

0

作为中国云安全整体解决方案领军者，青藤聚焦于关键信息基础设施领域的云安全建设，坚持“技术创新，科技报国”的初心，为数字中国、网络强国事业发展做贡献。

安全大模型

红蓝对抗是一种模拟真实世界攻防场景的实践活动，旨在通过模拟攻击来评估和提高组织的网络安全防御能力。红蓝对抗是网络安全领域中一种重要的实践，它不仅帮助组织评估和提高其网络安全状况，还能够增强员工的安全意识和技能，确保组织能够更好地应对不断变化的网络威胁。

零信任（Zero Trust）是一种安全模型，它基于一个核心原则：在验证用户或设备的身份和权限之前，不应该信任任何试图访问网络或应用程序的实体，无论它们是否位于网络边界内或外。零信任模型强调持续的验证和最小权限访问，以减少安全风险和防止未经授权的访问。

托管安全服务（Managed Security Service）是一种服务提供模式，其中外部服务提供商负责管理和执行客户的某些安全功能和流程。MSS提供商通常提供一系列服务，包括但不限于安全监控、安全事件管理、漏洞评估和管理、安全咨询和威胁情报等。MSS的目标是帮助客户提高其安全姿态，同时减少自身需要投入的资源和专业知识。

安全访问服务边缘（Secure Access Service Edge，简称SASE）是一种架构模型，它将网络连接与网络安全功能融合在一起，并通过单个云平台和/或集中策略控制来提供它们。SASE基于云服务创建了一个新的统一企业网络，使组织能够从许多架构层和单点解决方案逐步过渡，提供全平台功能的运营服务，如网络监控和日志记录，以及策略引擎支持。

IDS（Intrusion Detection System，入侵检测系统）是一种安全技术，用于监控网络或系统活动，以发现可能表明未经授权或恶意活动的异常行为或攻击模式。IDS可以被视为一种安全监控工具，它帮助组织保护其网络和系统免受攻击者的侵害。

蜜罐（Honeypot）是一种安全资源，其设计用来吸引攻击者，从而监控、检测、分析攻击者的行为和攻击手段。蜜罐通常是一个模拟的系统，它看起来像是有价值的目标，但实际上是无害的，并且专门用来诱捕攻击者。蜜罐技术是网络安全领域中一种积极防御手段，它帮助安全专家更好地了解攻击者的方法，从而加强网络的安全性。

SDP（Software Defined Perimeter，软件定义边界）是一种基于零信任（Zero Trust）理念的网络安全技术架构。SDP由国际云安全联盟CSA（Cloud Security Alliance）于2013年提出，旨在应对传统网络安全模型无法适应不断变化的网络威胁和新兴技术挑战的问题。

欺骗防御（Deception Technology），也称为欺骗战术或诱捕防御，是一种主动的安全防御技术，旨在通过布置虚假的或具有欺骗性的信息、系统、数据或网络资源来吸引、检测和分析攻击者的行为。这种技术利用了攻击者寻找漏洞和敏感数据的自然倾向，通过模拟这些目标来揭露未经授权的活动。

厂商

恒安嘉新

467

0

提供“云-网-边-端-用”综合解决方案的大数据智能运营运维产品，服务于产业互联网的科技工程企业，5G 时代的大数据智能运营专家

厂商

博智安全

402

0

博智安全专注以网络靶场和工业互联网安全细分领域为核心方向。

厂商

亿赛通

479

0

亿赛通是美创科技旗下的数据安全品牌，专注于提供数据安全解决方案，包括但不限于数据加密、数据防泄露、数据安全服务。

厂商

云天安全

410

0

云天安全基于实战化的攻防对抗，以常态化的协同防护为核心，构建网络安全综合防控体系，为政府企事业用户提供体系化的独立第三方网络空间安全运营服务。

厂商

启明星辰

1k

0

启明星辰是国内具备超强实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。

厂商

敏讯科技

500

0

敏讯科技拥有自主开发、独立知识产权的软件产品，同时也提供企业互联网在线服务，拥有自主品牌的网站“商邮网”，及互联网电信增值服务执照

厂商

芯盾时代

348

0

芯盾时代是领先的零信任业务安全产品方案提供商，是率先提出“以人为核心的业务安全”理念的公司。

厂商

天地和兴

377

0

北京天地和兴科技有限公司是我国最早专注于工业网络安全的专精特新企业之一。

厂商

慧盾安全

389

0

慧盾安全致力于数据安全整体解决方案的研发、销售和服务，主营业务为视频安全、大数据安全。

厂商

奇安信

1.1k

1

奇安信集团是中国网络安全市场的领军企业，专注于提供新一代网络安全产品和服务。公司以数据驱动安全为核心，建立了全面协同防御体系，涵盖多个领域的安全产品和解决方案。

厂商

奥联

381

0

深圳奥联信息安全技术有限公司是集算法研制、产品研发、方案实现、标准制定、前瞻性技术研究为一体，具备国际领先的密码领域全面“智造”能力的综合型密码安全企业。

厂商

盈高科技

406

0

盈高科技的安全产品涉及网络准入控制、零信任访问控制、终端安全管理、数据安全摆渡、视频网安全管理、IP资源管理等多个领域，涵盖企业、能源、电力、医疗等多个行业，已