फ़ज़िंग क्या है?
परिचय: फ़ज़िंग क्या है?
2014 में, चीनी हैकर्स सामुदायिक स्वास्थ्य प्रणालियों में हैक किया गया, एक फ़ायदेमंद अमेरिकी अस्पताल श्रृंखला, और 4.5 मिलियन रोगियों का डेटा चुरा लिया। हैकर्स ने हार्टब्लीड नामक एक बग का फायदा उठाया जो हैक से कुछ महीने पहले ओपनएसएसएल क्रिप्टोग्राफी लाइब्रेरी में खोजा गया था।
हार्टब्लीड अटैक वैक्टर के एक वर्ग का एक उदाहरण है जो हमलावरों को प्रारंभिक जांच पास करने के लिए पर्याप्त रूप से वैध अनुरोधों को भेजकर लक्ष्य तक पहुंचने की अनुमति देता है। जबकि ऐप के विभिन्न हिस्सों पर काम करने वाले पेशेवर इसकी सुरक्षा सुनिश्चित करने के लिए अपनी पूरी कोशिश करते हैं, ऐसे सभी कोने के मामलों के बारे में सोचना असंभव है जो ऐप को तोड़ सकते हैं या विकास के दौरान इसे कमजोर बना सकते हैं।
यहीं पर 'फ़ज़िंग' आता है।
फ़ज़िंग अटैक क्या है?
फ़ज़िंग, फ़ज़्ज़ टेस्टिंग, या फ़ज़्ज़िंग अटैक, एक स्वचालित सॉफ़्टवेयर टेस्टिंग तकनीक है जिसका उपयोग किसी प्रोग्राम में यादृच्छिक, अप्रत्याशित, या अमान्य डेटा (फ़ज़ कहा जाता है) को फीड करने के लिए किया जाता है। कार्यक्रम की निगरानी असामान्य या अप्रत्याशित व्यवहारों जैसे कि बफर ओवरफ्लो, क्रैश, मेमोरी लीकेज, थ्रेड हैंग, और रीड / राइट एक्सेस उल्लंघनों के लिए की जाती है। फ़ज़िंग टूल या फ़ज़र का उपयोग तब असामान्य व्यवहार के कारण को उजागर करने के लिए किया जाता है।
फ़ज़िंग इस धारणा पर आधारित है कि सभी प्रणालियों में बग खोजे जाने की प्रतीक्षा में हैं, और ऐसा करने के लिए उन्हें पर्याप्त समय और संसाधन दिए जा सकते हैं। अधिकांश प्रणालियों में बहुत अच्छे पार्सर या इनपुट सत्यापन रोकने वाले होते हैं साइबर अपराधी किसी प्रोग्राम में किसी भी काल्पनिक बग का शोषण करने से। हालाँकि, जैसा कि हमने ऊपर उल्लेख किया है, विकास के दौरान सभी कोने के मामलों को कवर करना मुश्किल है।
फ़ज़र्स का उपयोग उन प्रोग्रामों में किया जाता है जो संरचित इनपुट लेते हैं या किसी प्रकार की विश्वास सीमा रखते हैं। उदाहरण के लिए, पीडीएफ फाइलों को स्वीकार करने वाले प्रोग्राम में यह सुनिश्चित करने के लिए कुछ सत्यापन होगा कि पीडीएफ फाइल को संसाधित करने के लिए फाइल में एक .पीडीएफ एक्सटेंशन और पार्सर है।
एक प्रभावी फ़ज़र इन सीमाओं को पार करने के लिए पर्याप्त वैध इनपुट उत्पन्न कर सकता है, फिर भी कार्यक्रम के नीचे अप्रत्याशित व्यवहार का कारण बनने के लिए पर्याप्त अमान्य है। यह महत्वपूर्ण है क्योंकि अगर कोई और नुकसान नहीं हुआ है तो केवल सत्यापनों को पार करने में सक्षम होने का कोई मतलब नहीं है।
फ़ज़र्स एसक्यूएल इंजेक्शन, क्रॉस-साइट स्क्रिप्टिंग, बफर ओवरफ़्लो, और इनकार-ऑफ-सर्विस हमलों की पसंद के समान और समान रूप से हमला करने वाले वैक्टर की खोज करते हैं। ये सभी हमले सिस्टम में अप्रत्याशित, अमान्य या यादृच्छिक डेटा फीड करने का परिणाम हैं।
फ़ज़र्स के प्रकार
फ़ज़र्स को कुछ विशेषताओं के आधार पर वर्गीकृत किया जा सकता है:
- हमले के निशाने
- फ़ज़ बनाने की विधि
- इनपुट संरचना के बारे में जागरूकता
- कार्यक्रम संरचना के बारे में जागरूकता
1. लक्ष्य पर हमला
यह वर्गीकरण उस तरह के प्लेटफॉर्म पर आधारित है जिसका परीक्षण करने के लिए फ़ज़र का उपयोग किया जा रहा है। फ़ज़र्स आमतौर पर नेटवर्क प्रोटोकॉल और सॉफ़्टवेयर एप्लिकेशन के साथ उपयोग किए जाते हैं। प्रत्येक प्लेटफ़ॉर्म में एक विशेष प्रकार का इनपुट प्राप्त होता है, और इस प्रकार विभिन्न प्रकार के फ़ज़र्स की आवश्यकता होती है।
उदाहरण के लिए, अनुप्रयोगों के साथ काम करते समय, सभी फ़ज़िंग प्रयास अनुप्रयोग के विभिन्न इनपुट चैनलों पर होते हैं, जैसे कि उपयोगकर्ता इंटरफ़ेस, कमांड-लाइन टर्मिनल, फ़ॉर्म/टेक्स्ट इनपुट और फ़ाइल अपलोड। इसलिए फ़ज़र द्वारा उत्पन्न सभी इनपुट को इन चैनलों से मेल खाना चाहिए।
संचार प्रोटोकॉल से निपटने वाले फ़ज़र्स को पैकेट से निपटना पड़ता है। इस प्लेटफ़ॉर्म को लक्षित करने वाले फ़ज़र्स जाली पैकेट उत्पन्न कर सकते हैं, या इंटरसेप्टेड पैकेटों को संशोधित करने और उन्हें फिर से चलाने के लिए प्रॉक्सी के रूप में भी कार्य कर सकते हैं।
2. फज क्रिएशन मेथड
फ़ज़र्स को इस आधार पर भी वर्गीकृत किया जा सकता है कि वे फ़ज़ करने के लिए डेटा कैसे बनाते हैं। ऐतिहासिक रूप से, फ़ज़र्स ने स्क्रैच से यादृच्छिक डेटा उत्पन्न करके फ़ज़ बनाया। इस तकनीक के आरंभकर्ता प्रोफेसर बार्टन मिलर ने शुरू में ऐसा ही किया था। इस प्रकार के फजर को कहा जाता है पीढ़ी आधारित फजर.
हालांकि, सैद्धांतिक रूप से कोई ऐसा डेटा उत्पन्न कर सकता है जो विश्वास की सीमा को बायपास करेगा, ऐसा करने में काफी समय और संसाधन लगेंगे। इसलिए इस पद्धति का उपयोग आमतौर पर सरल इनपुट संरचनाओं वाले सिस्टम के लिए किया जाता है।
इस समस्या का एक समाधान यह है कि ज्ञात डेटा को एक विश्वास सीमा पार करने के लिए पर्याप्त वैध डेटा उत्पन्न करने के लिए वैध माना जाता है, फिर भी समस्याएं पैदा करने के लिए पर्याप्त अमान्य है। इसका एक अच्छा उदाहरण है ए डीएनएस फजर जो एक डोमेन नाम लेता है और फिर निर्दिष्ट डोमेन के स्वामी को लक्षित संभावित दुर्भावनापूर्ण डोमेन का पता लगाने के लिए डोमेन नामों की एक बड़ी सूची तैयार करता है।
यह दृष्टिकोण पिछले वाले की तुलना में अधिक स्मार्ट है और संभावित क्रमपरिवर्तन को महत्वपूर्ण रूप से बताता है। इस विधि का उपयोग करने वाले फजर्स कहलाते हैं म्यूटेशन-आधारित फ़ज़र्स.
एक तीसरा और हालिया तरीका है जो भेद्यता को जड़ से खत्म करने के लिए आवश्यक इष्टतम फ़ज़ डेटा पर अभिसरण करने के लिए आनुवंशिक एल्गोरिदम का उपयोग करता है। यह प्रोग्राम में डाले जाने पर प्रत्येक टेस्ट डेटा के प्रदर्शन को ध्यान में रखते हुए, अपने फ़ज़ डेटा को लगातार परिष्कृत करके काम करता है।
सबसे खराब प्रदर्शन करने वाले डेटा सेट को डेटा पूल से हटा दिया जाता है, जबकि सर्वश्रेष्ठ उत्परिवर्तित और/या संयुक्त होते हैं। डेटा की नई पीढ़ी का उपयोग फिर से परीक्षण करने के लिए किया जाता है। इन फजरों को कहा जाता है विकासवादी उत्परिवर्तन-आधारित फ़ज़र्स।
3. इनपुट संरचना के बारे में जागरूकता
यह वर्गीकरण इस बात पर आधारित है कि क्या एक फ़ज़र फ़ज़ डेटा उत्पन्न करने के लिए किसी प्रोग्राम की इनपुट संरचना के बारे में जानता है और सक्रिय रूप से उपयोग करता है। ए गूंगा फजर (एक फ़ज़र जो किसी प्रोग्राम की इनपुट संरचना से अनभिज्ञ है) ज्यादातर यादृच्छिक फैशन में फ़ज़ उत्पन्न करता है। इसमें पीढ़ी और उत्परिवर्तन-आधारित फ़ज़र्स दोनों शामिल हो सकते हैं।
यदि किसी प्रोग्राम के इनपुट मॉडल के साथ एक फ़ज़र प्रदान किया जाना चाहिए, तो फ़ज़र डेटा उत्पन्न करने या म्यूटेट करने का प्रयास कर सकता है जैसे कि यह प्रदान किए गए इनपुट मॉडल से मेल खाता है। यह दृष्टिकोण अमान्य डेटा उत्पन्न करने वाले संसाधनों की मात्रा को और कम कर देता है। ऐसे फजर को कहा जाता है स्मार्ट फजर.
4. कार्यक्रम संरचना की जागरूकता
फ़ज़र्स को इस आधार पर भी वर्गीकृत किया जा सकता है कि क्या वे उस कार्यक्रम के आंतरिक कामकाज से अवगत हैं जो वे फ़ज़ कर रहे हैं, और उस जागरूकता का उपयोग फ़ज़ डेटा जनरेशन में सहायता के लिए करते हैं। जब किसी कार्यक्रम की आंतरिक संरचना को समझे बिना उसका परीक्षण करने के लिए फ़ज़र्स का उपयोग किया जाता है, तो इसे ब्लैक-बॉक्स परीक्षण कहा जाता है।
ब्लैक-बॉक्स परीक्षण के दौरान उत्पन्न फ़ज़ डेटा आमतौर पर यादृच्छिक होता है जब तक कि फ़ज़र एक विकासवादी उत्परिवर्तन-आधारित फ़ज़र न हो, जहाँ यह अपने फ़ज़िंग के प्रभाव की निगरानी करके और उसका उपयोग करके 'सीखता' है करें- इसके फ़ज़ डेटा सेट को परिशोधित करने के लिए।
दूसरी ओर व्हाइट-बॉक्स परीक्षण फ़ज़ डेटा उत्पन्न करने के लिए प्रोग्राम की आंतरिक संरचना के एक मॉडल का उपयोग करता है। यह दृष्टिकोण एक फ़ज़र को एक कार्यक्रम में महत्वपूर्ण स्थानों पर जाने देता है और उसका परीक्षण करता है।
लोकप्रिय फ़ज़िंग उपकरण
बहुत सारे फ़ज़िंग हैं उपकरण कलम परीक्षकों द्वारा उपयोग किया जाता है। इनमें से कुछ सबसे लोकप्रिय हैं:
फ़ज़िंग की सीमाएँ
जबकि फ़ज़िंग वास्तव में उपयोगी पेन-परीक्षण तकनीक है, यह इसके दोषों के बिना नहीं है। इनमें से कुछ हैं:
- इसे चलाने में काफी समय लगता है।
- प्रोग्राम के ब्लैक-बॉक्स परीक्षण के दौरान पाए जाने वाले क्रैश और अन्य अप्रत्याशित व्यवहार मुश्किल हो सकते हैं, यदि विश्लेषण या डीबग करना असंभव नहीं है।
- स्मार्ट म्यूटेशन-आधारित फ़ज़र्स के लिए म्यूटेशन टेम्प्लेट बनाना समय लेने वाला हो सकता है। कभी-कभी, इनपुट मॉडल के मालिकाना या अज्ञात होने के कारण यह संभव भी नहीं हो सकता है।
फिर भी, यह किसी भी व्यक्ति के लिए एक बहुत ही उपयोगी और आवश्यक टूल है जो बुरे लोगों से पहले बग खोजना चाहता है।
निष्कर्ष
फ़ज़िंग एक शक्तिशाली पेन-परीक्षण तकनीक है जिसका उपयोग सॉफ़्टवेयर में कमजोरियों को उजागर करने के लिए किया जा सकता है। कई अलग-अलग प्रकार के फ़ज़र्स हैं, और हर समय नए फ़ज़र्स विकसित किए जा रहे हैं। जबकि फ़ज़िंग एक अविश्वसनीय रूप से उपयोगी उपकरण है, इसकी अपनी सीमाएँ हैं। उदाहरण के लिए, फ़ज़र्स केवल इतनी सारी कमजोरियाँ पा सकते हैं और वे काफी संसाधन गहन हो सकते हैं। हालाँकि, यदि आप इस अद्भुत तकनीक को अपने लिए आज़माना चाहते हैं, तो हमारे पास एक है निःशुल्क DNS Fuzzer API जिसे आप हमारे प्लेटफ़ॉर्म पर उपयोग कर सकते हैं।
तो आप किसका इंतज़ार कर रहे हैं?
