Go Conference 2021 Spring
タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
Go Conference 2021 Spring
We are excited to announce that native fuzzing is ready for beta testing on tip! Fuzzing is a type of automated testing which continuously manipulates inputs to a program to find issues such as panics or bugs. These semi-random data mutations can discover new code coverage that existing unit tests may miss, and uncover edge case bugs which would otherwise go unnoticed. Since fuzzing can reach thes
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
著者:Dronex, ptr-yudai はじめに この記事は、Fuzzing Farmシリーズ全4章のパート4で、パート3の記事「Fuzzing Farm #3: パッチ解析とPoC開発」の続きです。 Fuzzing Farmチームでは、前回の記事で紹介したように、1-dayエクスプロイトだけでなく0-dayエクスプロイトの開発にも取り組んでいます。Fuzzing Farmシリーズ最終章では、弊社エンジニアが発見した0-dayと、そのエクスプロイト開発について解説します。 我々は1年以上前の2022年4月の段階で、CVE-2022-24834に該当するRedisの脆弱性を発見し、RCE(Remote Code Execution; 任意コマンド実行)エクスプロイトの開発を完了していました。ベンダ側も修正を急いでくれましたが、利用者側の対応に時間を要したため、前回パート3の記事から今回の投
この記事はGo1.18連載の3記事目です。 伊藤真彦です、最近CSIGのVulsチームで働くようになりました。 crypto/elliptic (CVE-2022-23806)、math/big (CVE-2022-23772)、cmd/go (CVE-2022-23773)へのセキュリティFixを含むGo 1.17.7と1.16.14が先日リリースされました。急にセキュリティエンジニアっぽい事を言うようになるのは恐縮ですが忘れずアップデートしていきましょう。 脇道に逸れましたがこの記事ではFuzzingについて紹介します。 Go1.18から追加されたFuzzingとはGo1.18からFuzzingという機能が追加されます、Genericsのインパクトが大きいですが、Go1.18ではこういった大きな変更も加わっています。 機能追加に伴いランディングページが作成されました、リリースノートでf
This tutorial introduces the basics of fuzzing in Go. With fuzzing, random data is run against your test in an attempt to find vulnerabilities or crash-causing inputs. Some examples of vulnerabilities that can be found by fuzzing are SQL injection, buffer overflow, denial of service and cross-site scripting attacks. In this tutorial, you’ll write a fuzz test for a simple function, run the go comma
This is part 2 of a series of articles on rust-minidump. For part 1, see here. So to recap, we rewrote breakpad’s minidump processor in Rust, wrote a ton of tests, and deployed to production without any issues. We killed it, perfect job. And we still got massively dunked on by the fuzzer. Just absolutely destroyed. I was starting to pivot off of rust-minidump work because I needed a bit of palette
Go supports fuzzing in its standard toolchain beginning in Go 1.18. Native Go fuzz tests are supported by OSS-Fuzz. Try out the tutorial for fuzzing with Go. Overview Fuzzing is a type of automated testing which continuously manipulates inputs to a program to find bugs. Go fuzzing uses coverage guidance to intelligently walk through the code being fuzzed to find and report failures to the user. Si
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
English version is here: fuzzuf: Fuzzing Unification Framework 著者: Ren Kimura (@RKX1209)Yuki Koike (@hugeh0ge) はじめに 本日、わたしたちはfuzzuf(Fuzzing Unification Framework)をOSSとして公開しました。 fuzzufは独自のDSLを搭載したファジングツール(ファザー)を記述するためのフレームワークです。様々なファザーによって多様な形で定義されるファジングループを、DSLを用いてブロックを組み合わせるように記述することで、アルゴリズムの拡張性を保ちながら、ファジングループ内の挙動を柔軟に変更可能にします。既に、マルチプラットフォームに対応可能な形でAFL、VUzzer、libFuzzerを含む複数のファザーが実装されています。ユーザは、それらの
英語版はこちら: ARMored CoreSight: Towards Efficient Binary-only Fuzzing 著者: Akira Moroo (@retrage) Yuichi Sugiyama (@mmxsrup) はじめに わたしたちRicerca Securityはファジングの研究開発に取り組んでいます。このたび、その一環として開発したAFL++ CoreSight modeをOSSとして公開しました。これは、ファジングツールのデファクトスタンダードであるAFL++に対して、CoreSightという一部のARMプロセッサで有効なCPU機能を活用したフィードバック機構を追加したものです。 ファジングとは、プログラムの入力に変異を施し、その脆弱性を自動的に発見する技術です。一般に、プログラムのソースコードが手元にない場合のファジング (Binary-only Fuz
初めに どうも、クソ雑魚のなんちゃてエンジニアです。 本記事は以前紹介した総受けサイト「XVWA」に対してFuzzing攻撃を仕掛けてみたときのことをまとめてみようと思う。 今回はFuzzingとしてSSTIの脆弱性を付くようなコードを送り込みます。 ※ツールとしてはBurpSuite(「OS Command Injection編」を参照)の拡張機能を使います。 拡張機能コードを自作していきます。 ※XVWAをローカルに立てる記事は以下になります。 ※その他色々と「XVWA」ちゃんをいじめた記事もあるのでこっちもみていってね!! ※悪用するのはやめてください。あくまで社会への貢献のためにこれらの技術を使用してください。法に触れるので。 目次 Fuzzingとは SSTI攻撃とは スクリプト作成 Payloadリストを作成 BurpSuite拡張機能作成 Fuzzing実践 スクリプトの取り
Go 1.18 is coming out soon, hopefully in a few weeks. It's a huge release with a lot to look forward to, but native fuzzing has a special place in my heart. (I'm super-biased of course: before I left Google, I worked with Katie Hockman and Roland Shoemaker to build the fuzzing system). Generics are cool too, I guess, but having fuzzing integrated into the testing package and go test will make fuzz
はじめに ドローンのソフトウェア開発しています。イチノです。 Atheris を触ったのでメモ書きです。 Atheris は、プログラムの実行経路に応じたテスト用データを生成する Fuzzing ツールです。 github.com Fuzzing とは、プログラムに問題の有りそうなデータやランダムなデータを渡して、プログラムのバグを探す脆弱性検査です。Fuzzing で WebRTC の脆弱性を発見したなんていう事例も有ります。 WebRTC Security, Fuzzing, and more! - YouTube Fuzzing に関する詳しい説明は IPA の資料をご覧ください。 脆弱性対策:ファジング:IPA 独立行政法人 情報処理推進機構 Atheris のインストールと使い方を以下に記載しています。 インストール Atheris は、 Linux, macOS に対応していま
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く