BFF — универсальный тестер для проверки безопасности приложений

Исследователи из университета Карнеги-Меллона разработали упрощенную версию автоматизированной системы для выявления катастрофических ошибок в программных продуктах.

В комплект Basic Fuzzing Framework (BFF) входит виртуальная машина на базе модифицированного дистрибутива Debian GNU/Linux, набор скриптов и файл конфигурации. Для имитации попытки взлома система использует многоцелевую утилиту-исказитель файлов (фаззер) zzuf, которая привносит случайные изменения в эталонные файлы. После открытия искаженного файла в приложении, подвергнутом тестированию, BFF регистрирует дальнейший ход событий. Если провокация привела к сбою или отказу, анализ информации, собранной за время проверки, подскажет его причину.

Технология обнаружения ошибок, взятая за основу американскими разработчиками, помогает определить вероятность таких атак, как переполнение буфера, отказ в обслуживании (DoS), модификация SQL-запроса, XSS. Фаззинг как способ проверки безопасности программных продуктов снискал популярность в профессиональных кругах, но с выходом BFF станет достоянием широких масс. Обзавестись новым инструментом можно на сайте американской Группы быстрого реагирования на компьютерные инциденты.