Các chuyên gia bảo mật của Google đã tạo một tiện ích nguồn mở fuzzing tự động khác với hy vọng rằng các developer sẽ sử dụng nó để tìm lỗi bảo mật và vá các lỗ hổng trước khi chúng bị khai thác.

Được đặt tên là Atheris, dự án là một công cụ cổ điển.

Một công cụ làm mờ(Fuzz) (hoặc công cụ làm mờ) và kỹ thuật làm mờ hoạt động bằng cách cung cấp cho một ứng dụng phần mềm một lượng lớn dữ liệu ngẫu nhiên và phân tích đầu ra của nó để tìm các bất thường và sự cố, cung cấp cho các developer gợi ý về sự hiện diện và vị trí của các lỗi có thể xảy ra trong mã của ứng dụng .

Trong những năm qua, các nhà nghiên cứu bảo mật của Google là một trong số những người khuyến khích lớn nhất việc sử dụng các công cụ fuzzing để phát hiện không chỉ các lỗi thông thường mà còn cả các lỗ hổng nguy hiểm có thể bị kẻ tấn công khai thác.

Kể từ năm 2013, các nhà nghiên cứu bảo mật của Google đã tạo ra nhiều nguồn mở và sau đó là nguồn mở một số công cụ làm mờ, bao gồm các công cụ như OSS-Fuzz, Syzkaller, ClusterFuzz, Fuzzilli và BrokenType.

Nhưng tất cả các công cụ này đều được tạo ra để phát hiện lỗi trong các ứng dụng C hoặc C ++.

LÀM Fuzz CHO CODE PYTHON TĂNG TRƯỞNG CÙNG VỚI SỰ PHÁT TRIỂN CỦA NÓ

Atheris là câu trả lời của Google cho sự phổ biến ngày càng tăng của ngôn ngữ lập trình Python, hiện đang xếp thứ 3 trong chỉ số TIOBE của tháng trước.

Được phát triển nội bộ tại Google trong một bản hackaton vào tháng 10 năm ngoái, Atheris hỗ trợ code Python fuzzing được viết bằng Python 2.7 và Python 3.3+, nhưng cũng có các tiện ích mở rộng được tạo bằng CPython.

Tuy nhiên, Google nói rằng Atheris hoạt động tốt nhất với code bằng Python 3.8 trở lên, nơi các tính năng mới được thêm vào ngôn ngữ lập trình Python có thể giúp Atheris tìm thấy nhiều lỗi hơn so với mã được viết bằng mã Python cũ hơn.

Google đã tạo nguồn mở mã Atheris trên GitHub và bộ làm mờ cũng có sẵn trên PyPI, kho lưu trữ gói Python.

Trong tương lai, Google cho biết họ cũng có kế hoạch bổ sung hỗ trợ cho các thử nghiệm Atheris fuzz trên OSS-Fuzz, một nền tảng được lưu trữ cho phép các developer xử lý các dự án mã nguồn mở về các lỗi bảo mật. Trước đây, nền tảng này chỉ hỗ trợ C và C ++ fuzzing, và cực kỳ thành công, được sử dụng để tìm hàng nghìn lỗi trong nhiều năm. Tính đến tháng 6 năm 2020, OSS-Fuzz đã tìm thấy hơn 20.000 lỗi trong 300 dự án mã nguồn mở.

Devmaster Academy via cafedev.vn