渗透测试的福音:既好用成本又低的云端模糊测试

简介:

6年前一篇研究文章中提出的微软理念——“云端模糊测试(Fuzzing)将彻底改变安全测试”,以 Project Springfield 漏洞发现项目的登场亮相作为其实现形式。 Project Springfield 是基于Azure云的服务,依靠自动向代码提交不良输入来发现软件漏洞。

微软提出的“云端模糊测试即服务”

9月26号在亚特兰大Ignite大会上推出的 Project Springfield,为开发者在微软Azure云端虚拟机上进行持续性二进制文件测试的能力,有助发现和清除漏洞。

微软研究团队将 Project Springfield 比作“百万美元漏洞检测机”,因为有些软件漏洞如果遗留时间过长,便会造成如此巨大的损失。当然,损失额度不一而足。

2002年美国国家标准技术局(NIST)发布的一份研究估测,软件漏洞每年导致的美国经济损失在222亿到595亿美元之间(现在大概在790亿美元左右)。在软件发布前捕获漏洞,应该可以降低修复费用。

微软称,Window 7 “百万美元”安全漏洞中的1/3,都是用其“白箱模糊测试”技术发现的,该技术内部称为SAGE(可扩展、自动化、指导性执行)。SAGE就是 Project Springfield 的其中一个组件。

正如硅谷最近沸沸扬扬的其他公告,人工智能(AI)在这里面也掺了一脚。微软称其系统利用AI就“可能导致代码崩溃的条件”提出问题并做出更好决策。

微软的白箱模糊测试算法象征性地从一个起始输入执行代码,并依据一路遇到的约束条件语句产生随后的输入数据。该技术与黑箱模糊测试完全不同,黑箱测试并不保证发送的畸形输入数据会通过所有目标路径。因而,黑箱模糊测试有可能漏掉关键测试条件。

模糊测试适用于云计算,因为模糊测试软件可利用大量可用基础设施并行执行不同测试。但微软研究人员在2010年的研究论文中说道,这种计算灵活性甚至不如共享云基础设施得来的好处重要。

将安全测试托管在云端,缩短简化了从每个应用收集信息、推送更新、驱动未来开发改进的过程。

当然,也缩短了账单。

本文转自d1net(转载)

相关文章
|
缓存 测试技术 数据中心
【计算机架构】计算 CPU 动态功耗 | 集成电路成本 | SPEC 基准测试 | Amdahl 定律 | MIPS 性能指标
【计算机架构】计算 CPU 动态功耗 | 集成电路成本 | SPEC 基准测试 | Amdahl 定律 | MIPS 性能指标
470 0
|
7月前
|
SQL 安全 测试技术
『渗透测试基础』| 什么是渗透测试?有哪些常用方法?如何开展?测试工具有哪些?优势在哪里?
『渗透测试基础』| 什么是渗透测试?有哪些常用方法?如何开展?测试工具有哪些?优势在哪里?
371 0
|
安全 Shell Linux
2022渗透测试-一次完整的渗透测试(DC-6靶场)
2022渗透测试-一次完整的渗透测试(DC-6靶场)
2022渗透测试-一次完整的渗透测试(DC-6靶场)
|
2月前
|
安全 程序员 网络安全
Kali渗透测试:对软件的溢出漏洞进行测试
Kali渗透测试:对软件的溢出漏洞进行测试
42 1
|
5月前
|
测试技术 持续交付
单元测试问题之确保单元测试自动化运行中的问题如何解决
单元测试问题之确保单元测试自动化运行中的问题如何解决
|
6月前
|
存储 安全 测试技术
渗透测试之白盒测试:一种深入的安全性评估方法
渗透测试中的白盒测试是一种利用系统详细信息(如源代码、数据库结构和网络拓扑)进行深度安全评估的方法。通过源代码审查、数据库分析和网络拓扑研究,测试人员能更准确地发现漏洞并提高测试效率。尽管白盒测试能深入揭露潜在威胁,但也面临信息获取难、代码理解复杂及对测试人员高技能要求的挑战。
渗透测试之白盒测试:一种深入的安全性评估方法
|
算法 测试技术 C#
C++前缀和算法:合并石头的最低成本原理、源码及测试用例(二)
C++前缀和算法:合并石头的最低成本原理、源码及测试用例
|
机器学习/深度学习 算法 测试技术
C++前缀和算法:合并石头的最低成本原理、源码及测试用例(一)
C++前缀和算法:合并石头的最低成本原理、源码及测试用例
|
安全 前端开发 JavaScript
渗透测试基础,初识渗透测试
1.渗透测试的概念 渗透测试 (penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。 换句话来说,渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐
305 0
渗透测试基础,初识渗透测试
|
XML Java 网络安全
2022渗透测试-app渗透测试-安卓反编译apk
2022渗透测试-app渗透测试-安卓反编译apk
2022渗透测试-app渗透测试-安卓反编译apk