起航黑盒测试系统

测试方法原理与发展

☆黑盒FUZZ安全测试原理

黑盒FUZZ安全测试是一种黑盒测试，他依据被测试应用使用的正常数据作为测试样本，根据一定的安全策略，更改被测试样本，包括替换、增长、减少、随机变换等，生成变异样本，让被测试应用使用变异样本作为数据输入，同时监测被测试应用，如果被测试处理变异样本时触发了异常，则被黑盒FUZZ测试的异常监控所发现，以此方式来发现安全漏洞。

☆技术起源

黑盒FUZZ安全测试技术在2001年开始在安全业界出现，在之后的几年里，由于大量成批量的安全漏洞的发现，奠定了黑盒FUZZ安全测试技术中的地位，2006年，微软引入了SDL（安全开发生命周期）改进自身产品的安全性，将动态黑盒FUZZ测试作为SDL过程安全测试环节里的一个重要技术手段。

优点：

1）部署和实施简单

2）直接发现可重现的BUG

3）跨平台

4）可针对各种设备，网络应用，本地应用实施安全测试

5）针对未经过安全过程的产品效果突出，性价比比较高

起航黑盒测试系统（以下称“起航”）采用的是黑盒FUZZ测试方法，不需要软件的源代码就可以实施安全测试。起航起源于公司团队成员开发的一个完整黑盒FUZZ安全测试的框架工具，历史上该工具曾找到数百个高危的安全漏洞，包括微软重点产品如WINDOWS，OFFICE，IE等的上百个高危安全漏洞。

产品特点：

1．环境构造简单，无需特殊的攻击性测试数据，让QA开发人员都可以做安全测试。解决测试缺乏安全知识，攻击知识的难题。

2．自动化值守和记录，很少人工干预，支持断点续测。

3. 可模拟人工的前期操作，确保测试关键处理被触发。

4．分析安全问题直观。

5．支持策略编辑器，可根据用户需求自定义样本生成规则。

6. 可针对本地文件应用，网络服务器端，网络客户端，网络设备实施安全测试。

7. 支持发现安全问题同源归并，减少安全分析成本。