凭借Scapy, radamsa工具和少量明文数据包对专有协议进行Fuzzing测试

文章预览

简介 作为安全顾问，我们以客户所雇佣的枪手身份来代为执行针对应用程序的黑匣子安全测试。通常，我们必须对那些使用自己专有方案而非常规协议（如HTTP）进行通信的应用程序的安全性进行评估。 最近，我们接到了一个时间比较紧急的任务，涉及到对一个具有私有通信协议（包裹在SSL / TLS隧道内）的定制型应用程序的安全性进行测试。 本文旨在描述我们解决任务中所发生的有关技术限制及时间限制问题的过程，并通过基于基于缺陷注入的自动软件测试技术来成功测试和查找应用程序中的错误。   什么是专有协议？ 大致来说，专有协议是一种未被开放标准定义或由个人或公司控制的协议。在大多数没有官方文档（关于程序内部工作原理）的情况下，使用专 ………………………………