『ファジング:ブルートフォースによる脆弱性発見手法』読み終わったよ
- 作者: Michael Sutton,Adam Greene,Pedram Amini,園田道夫,(株)ドキュメントシステム,伊藤裕之
- 出版社/メーカー: 毎日コミュニケーションズ
- 発売日: 2008/05/28
- メディア: 単行本(ソフトカバー)
- 購入: 2人 クリック: 150回
- この商品を含むブログ (16件) を見る
それはともかくファジングという概念はおもしろい。海の底に潜む脆弱性を検出することはできないけれど、浅いところにある脆弱性を熊が魚を捕る如く力づくで見付ける、ということらしい。
ただファジングに使うデータを生成するための、メタファイルの書き方がちょっと気にくわない。
fuzz_string("GET"); string(" /"); fuzz_string("index.html"); string(" HTTP/1.1"); hex(0d 0a);
これじゃあ、メタデータじゃなくて単なる生成スクリプトじゃないか。もっと宣言的に書きたいなぁ。
あと、なんとなくRushCheckを思いだした。RushCheckはRushCheck+RSpec紹介(PDF)でしか知らないんだけど。