ファジングの解説

1. ファジング
2021年3月5日 06:30 PM
安藤類央

2. ファジングとは？
• 脆弱性検査・バグハンティングの手法の１つ
• 対象となるソフトウェア・システムのエラーの条件、つまり、
製品の欠陥を引き起こすことを期待して、不正なデータをわざ
と製品に送り付けるプロセス
• 従来はWEBの脆弱性検査に使うことが多々あったが、最近の
ファジングの適用領域は組み込みシステム、車載システム、電
力システムにも広がっている。

3. 脆弱性検査
• ホワイトボックステスト
ソースコード検査
• ブラックボックステスト
ファジング
• グレーボックステスト
リバースエンジニアリング
脆弱性（ぜいじゃくせ
い）とは、コンピュー
タのOSやソフトウェ
アにおいて、プログラ
ムの不具合や設計上の
ミスが原因となって発
生した情報セキュリ
ティ上の欠陥のことを
言います。 脆弱性は、
セキュリティホールと
も呼ばれます。

4. ファジングの対象
• 実行ファイル（バイナリ）
バッファオーバーフロー
整数オーバーフロー
Use-After-Free
• WEBアプリケーション
SQLインジェクション
SSRF (サーバサイドリクエストフォージェリ）
ディレクトリトラバーサル

5. ファジングのツール
❐ AFL – 突然変型のファズを生成
❐【未使用】Triforce AFL – AFLの拡張版
OSのカーネルにも使える？
❐【未使用】Defensix – 組み込みシステム向け？

6. 最小限のファジング
while [1]; do cat /dev/urandom | nc –vv target port; done
LinuxのUramdomデバイスからランダムデータを読み込み、
Netcatを使ってランダムデータをターゲットとポートに送る操作を
Whileループを使ってユーザが止めるまで続ける。
この方法によって、ミッションクリティカルがソフトウェアのバグが
結構見つかっている。
このテクニックでスタックを破壊すると、読み出しスタックが壊れる
ので、デバッガやディスアセンブラの併用は難しい。

7. デバッガはファジングに使えるか？
“デバッガを利用してターゲットの監視を検討するとき、１つの
大きな落とし穴があります。ほとんどのデバッガは対話型の利用
を前提にしているので、既存のデバッガをプログラマティックに
制御して、役立つ情報を自動抽出する状況は多くありません。”
“デバッガを使って最終的に求めることは、ファズツールへの手
動のチェックインと、デバッガが例外を認識したときのプロセス
の再スタートです。”
- ファジング:ブルートフォースによる脆弱性発見手法

8. ファジングのフェーズ 1
ターゲットの特定
入力の特定
ファズデータの生成
ファズデータの実行
例外の監視
攻撃可能性の判定
1. 開発中のアプリケーション
2. サードパーティ製アプリケーション
サードパーティ製アプリケーションの
場合、過去の脆弱性などをチェックする
アプリケーションを選択した場合、
さらにアプリケーション内の特定の
ファイルやライブラリをチェックする

9. ファジングの６つの
フェーズ

10. ファジングのフェーズ 2
ターゲットの特定
入力の特定
ファズデータの生成
ファズデータの実行
例外の監視
攻撃可能性の判定
不正に入力される脆弱性は、サニタイズ
や検査ルーチンの適用を行わずに入力
されたデータを処理することで生じる
入力ベクトルを列挙することは、
ファジングを成功させるために極めて
重要
入力ベクトルの例
onAbort / onBlur / onChange
SCRIPT SRC=
Dictionary of Attack Patterns
https://github.com/fuzzdb-project/fuzzdb

11. ファジングのフェーズ 3
ターゲットの特定
入力の特定
ファズデータの生成
ファズデータの実行
例外の監視
攻撃可能性の判定
入力ベクトルを限定したら、
ファズデータを生成する。
データの生成
定義済みの値を使う
既存データを変異させる
動的にデータを生成する

12. ファズの生成方法3種類
• 事前用意型 あらかじめファズを用意しておき、それらを１つ
ずつファズの入力として使う。テストの再現性が高いが、ファ
ズを用意する手間がかかる。
• ランダム型 ファズをその都度ランダムに生成する。ファズを
用意する手間がかからないが、再現性が低い（原因を突き止め
にくい）
• 突然変異型 あらかじめ用意した初期値に対して次々と変更を
加えながらファジングを行う。AFLで使われる。

13. ファジングのフェーズ 4
ターゲットの特定
入力の特定
ファズデータの生成
ファズデータの実行
例外の監視
攻撃可能性の判定
実行の形態
ターゲットにパケットを送る
ファイルを開く
ターゲットプロセスを起動する

14. ファジングのフェーズ 5
ターゲットの特定
入力の特定
ファズデータの生成
ファズデータの実行
例外の監視
攻撃可能性の判定
例外の監視
１００００個のファズパケットを
ターゲットのWEBサーバに送り、
最終的にサーバをクラッシュさせた後、
クラッシュを招いたパケットを
正確に特定する。

15. ファジングのフェーズ 6
ターゲットの特定
入力の特定
ファズデータの生成
ファズデータの実行
例外の監視
攻撃可能性の判定
攻撃可能性の判定
監査の目標によっては、欠陥が認識
されたあとで、見つかったバグがさらに
攻撃されるかも判定しないといけない。

16. 応用

17. coverage-based fuzzing / gray-box fuzzing
❐ グレーボックステストではない
❐ ある入力でプログラムを実行したときのコードカバレッジを
測定し，その情報を利用して次の入力を決定
❐ 代表的なものに、American Fuzzy Lop (AFL)がある
ファジング実践資料（AFL編）
https://www.ipa.go.jp/files/000081408.pdf

18. #include <stdio.h>
#include <string.h>
void process_password()
{
char enterpassword[2];
printf("Do you want to enter a password?:");
scanf("%s", enterpassword);
if(strcmp(enterpassword, "N") == 0)
return;
printf("You entered:");
printf(enterpassword);
printf("n");
char password[256];
printf("Enter you password:");
scanf("%s", password);
if(strcmp(password, "S3cr3tP@ssw0rd!") == 0)
{
printf("Correct!n");
}
else
{
printf("Incorrect.n");
}
}
int main(int argc, char** argv)
{
process_password();
return 0;
}
コードカバレッジ

19. Directed Greybox Fuzzingと深層学習
❏In this paper, we introduce Directed Greybox Fuzzing (DGF) which generates inputs with
the objective of reaching a given set of target program locations efficiently.
“Directed Greybox Fuzzing” – CCS17
❏In this paper, we propose a deep-learning-based approach to predict the reachability of
inputs (i.e., miss the target or not) before executing the target program, helping DGF
(directed grey-box fuzzing) filtering out the unreachable ones to boost the performance
of fuzzing.
“FuzzGuard: Filtering out Unreachable Inputs in Directed Grey-box Fuzzing through Deep
Learning” – Usenix Security 2019

20. Demo
https://github.com/google/AFL
2003 gcc test.c
2004 afl-gcc ./test.c
2007 afl-fuzz -i ./afl_in/ -o ./afl_out/ ./a.out
https://x9security.com/fuzzing-explained-with-afl/