PTFuzz,综合性模糊测试解决方案,可应用于通信协议漏洞挖掘、文档处理软件漏洞挖掘、网络API漏洞挖掘等,针对私有协议/文件格式/API接口,可提供测试套件模板及扩展开发接口,支持高级用户自定义扩展开发私有协议测试模型。
支持协议交互状态的黑盒模糊测试技术,被测系统不需要提供源码,只需要系统输入、输出接口即可开展智能模糊测试,支持网络设备、工控设备、IOT终端、应用软件等产品从开发、测试、运营全流程的安全测试及漏洞挖掘。
产品概述
产品优势
智能化模糊测试引擎
PTFuzz引擎利用对输入类型的深入理解进行智能化变异,无论输入类型是协议、文件格式还是API接口,结合模型定义和变异算法自动化生成有针对性的测试用例,充分利用相关输入类型固有的安全弱点,通过监控被测目标并记录崩溃用例等技术,开展高效漏洞挖掘。
丰富的测试对象
网络设备、IOT终端、文件处理类应用软件、Web系统API接口、工业控制设备、车联网设备、硬件总线、媒体软件、存储设备等。
支持多种监控手段
支持多种设备状态监控方式,包括:tcp port探测、snmp、ssh、syslog、adb、Command、Remote、Asan等,并支持可扩展开发。
丰富的变异算法
支持20多种数据类型的变异算法不少于60种,除了基础数据类型的变异算法,也支持复合数据类型的变异算法,例如复合数据结构的重复、插入、删除等
问题一键复现
支持触发问题用例自动保存,支持历史问题在线查看,支持历史问题一键触发复现。
产品功能
支持基于样本文件变异
针对通用协议如HTTP协议,可提供通用数据模板,测试者只需要现场通过wireshark等抓包工具抓取协议报文,生成bin文件,存放到工具指定目录就可以开展测试;用户也可上传私有协议pcap文件自动生成新的模型文件,满足私有协议的测试需求。
支持多种协议发包器
支持以太网络各层协议发包器和文件发包器,具备针对硬件通信接口如USB/CAN总线的发包能力,覆盖无线接口如WiFi、蓝牙等,用户也可自定义并扩展发包功能,为全面的通讯接口测试提供了强大支持,确保系统与设备通讯的可靠性与安全性。
完善的标准协议模型
支持200多种标准协议模糊测试,涵盖路由协议、应用协议、文件协议、电信协议、工控协议、车联网协议、物联网协议、无线空口协议、硬件协议等。
支持用户自定义扩展
对高级用户,提供cyan-lib组件支持用户自定义扩展开发所有组件,可扩展开发组件包括测试模型、发包器、监控器、变异算法、模型组件:relation,fixup,tranform,analyzer,checker等。
详细的测试报告
提供全面细致的项目级别和任务级别的数据汇总分析报告,包括:任务信息、运行状态、问题详情、用户信息等,方便用户了解任务执行情况。
可发现的问题类型
内存溢出、缓存区越界读、释放后重用、重复释放、栈缓存区溢出、堆缓存区溢出、整形上溢、整形下溢、未初始化、内存泄露、格式化字符串等。