#118 Fuzzing

　ブラックボックステストでは、ソースコードを見ることはできないので、実際にアプリを動かしてみて、脆弱性のありそうなところを野生の勘で探していきます。思いつくままに自分で試してみてもいいのですが、手作業だと大変ですし、見落としがあるかもしれません。ファジングは、想定外のデータをアプリに入力することで、未知の脆弱性を見つけるテスト手法です。

IPAにも、ファジングの活用についての記事があります。フリーのツールなども多数公開されているので、うまく活用すれば効率よく脆弱性を発見できます。

ただ、適当に設定してもうまくいきません。テスト対象の入力値とペイロードの選定にはコツがいります。また、稼働中のアプリでテストする場合は、クラッシュや負荷をかけすぎてダウンする可能性もあるので注意です。

ツール

難しい…

EOF