45.2 go-fuzz的初步工作原理
go-fuzz实际上是基于前面提到的老牌模糊测试项目afl-fuzz的逻辑设计和实现的。不同的是在使用的时候,afl-fuzz对于每个输入用例(input case)都会创建(fork)一个进程(process)去执行,而go-fuzz则是将输入用例中的数据传给下面这样一个Fuzz函数,这样就无须反复重启程序。
func Fuzz(data []byte) int
go-fuzz进一步完善了Go开发测试工具集,很多较早接受Go语言的公司(如Cloudflare等)已经开始使用go-fuzz来测试自己的产品以提高产品质量了。
go-fuzz的工作流程如下:
1)生成随机数据;
2)将上述数据作为输入传递给被测程序;
3)观察是否有崩溃记录(crash),如果发现崩溃记录,则说明找到了潜在的bug。
之后开发者可以根据crash记录情况去确认和修复bug。修复bug后,我们一般会为被测代码添加针对这个bug的单元测试用例以验证bug已经修复。
go-fuzz采用的是代码覆盖率引导的fuzzing算法(Coverage-guided fuzzing)。go-fuzz运行起来后将进入一个死循环,该循环中的逻辑的伪代码大致如下:
// go-fuzz-build在构建用于go-fuzz的二进制文件(*.zip)的过程中
// 在被测对象代码中埋入用于统计代码覆盖率的桩代码及其他信息
Instrument program for code coverage
Collect initial corpus of inputs // 收集初始输入数据语料(位于工作路径下的corpus目录下)
for {
// 从corpus中读取语料并做随机变化
Randomly mutate an input from the corpus
// 执行Fuzz,收集代码覆盖率数据
Execute and collect coverage
// 如果输入数据提供了新的代码覆盖率,则将该输入数据存入语料库(corpus)
If the input gives new coverage, add it to corpus
}
go-fuzz的核心是对语料库的输入数据如何进行变化。go-fuzz内部使用两种对语料库的输入数据进行变化的方法:突变(mutation)和改写(versify)。突变是一种低级方法,主要是对语料库的字节进行小修改。下面是一些常见的突变策略:
- 插入/删除/重复/复制随机范围的随机字节;
- 位翻转;
- 交换2字节;
- 将一个字节设置为随机值;
- 从一个byte/uint16/uint32/uint64中添加/减去;
- 将一个byte/uint16/uint32替换为另一个值;
- 将一个ASCII数字替换为另一个数字;
- 拼接另一个输入;
- 插入其他输入的一部分;
- 插入字符串/整数字面值;
- 替换为字符串/整数字面值。
例如,下面是对输入语料采用突变方法的输入数据演进序列:
"" "", "A" "", "A", "AB" "", "A", "AB", "ABC" "", "A", "AB", "ABC", "ABCD"
改写是比较先进的高级方法,它会学习文本的结构,对输入进行简单分析,识别出输入语料数据中各个部分的类型,比如数字、字母数字、列表、引用等,然后针对不同部分运用突变策略。 下面是应用改写方法进行语料处理的例子:
原始语料输入:
`<item name="foo"><prop name="price">100</prop></item>`
运用改写方法后的输入数据例子:
<item name="rb54ana"><item name="foo"><prop name="price"></prop><prop/></item>
</item>
<item name=""><prop name="price">=</prop><prop/> </item>
<item name=""><prop F="">-026023767521520230564132665e0333302100</prop><prop/>
</item>
<item SN="foo_P"><prop name="_G_nx">510</prop><prop name="vC">-9e-07036514
</prop></item>
<item name="foo"><prop name="c8">prop name="p"</prop>/}<prop name=" price">01e-6
</prop></item>
<item name="foo"><item name="foo"><prop JY="">100</prop></item>8<prop/></item>