题目:语法在模糊测试结构化输入中的应用
报告人:郭润生
在模糊测试这一软件测试方法中,具有高度结构化输入要求的测试对象,对fuzz应用的种子生成提出了很高的要求。本报告首先介绍了fuzz应用以生成和变异分类各自的特点与框架,并说明了两者在面对结构化输入的问题时的处理方法与难点。NAUTILUS是一个利用语法解决该问题的fuzz应用,使用上下文无关文法和代码覆盖率结合的方法;Skyfire是一个使用基于概率的上下文相关文法策略的种子生成器,本报告分别介绍了这两者的设计思路与具体策略,最后对框架的设计进行了总结。
老师意见要点:
应当多注意对fuzz应用的性能评估指标,如果是在别人的研究基础上进行优化,需要对各项精度了解非常清楚。
相关资料:
[1] J. Wang, B. Chen, L. Wei and Y. Liu, "Skyfire: Data-Driven Seed Generation for Fuzzing," 2017 IEEE Symposium on Security and Privacy (SP), San Jose, CA, 2017, pp. 579-594.
[2] Aschermann C, Frassetto T, Holz T, et al. NAUTILUS: Fishing for Deep Bugs with Grammars[C]//NDSS. 2019.