beSTORM模糊测试
企业级的黑盒模糊测试工具
无需提供产品源代码, 以动态黑盒的方式测试软件产品
通过尝试攻击,查看攻击是否成功,查找漏洞
测试覆盖所有层级,包括:网络,协议,文件,硬件,DLL 和 API
彻底测试所有可能出现漏洞的场景,无需预置特定数量的测试场景
支持自学习功能,能快速学习私有协议(文本或二进制)
适用于安全合规性检查的可重复的测试
客户评价“beSTORM 让我们印象深刻。beSTORM有个显著的特点,它能够灵活添加新协议和专有协议。我们主动扩大了它的使用范围,将它作为标准安全测试流程的一部分,应用到我们所有的产品中去。”
beSTORM安全漏洞挖掘工具
全面自动化的漏洞挖掘利器
产
品概述
软件总会有Bug,问题是有多少Bug?有多严重?会被黑客发现利用攻击?对于系统总体安全而言, 内在的安全性是非常有必要的,安全性是整体系统的突显特性。
黑客们的杀手锏,就是用模糊测试的方法来寻找软件的安全漏洞;一旦发现漏洞,就会针对漏洞进行开发利用或者直接进行服务攻击。先敌而动,以敌人的方式来攻击自身,预先寻找准备对策。任何协议栈和服务都有可能发现漏洞,复杂程度与漏洞的数量成正比,越复杂的软件实现,越有可能找到更多的漏洞。
beSTORM测试工具就是基于Blackbox黑盒的(Fuzzing)模糊性/健壮性/安全性测试,以此来发现设备应对攻击的承受能力。不仅只是应对黑客的攻击,更多的是提高软件的总体质量,减少软件的未知缺陷,是软件开发生命周期(SDLC)中必不可少的安全测试环节之一。
beSTORM与其他工具的区别
beSTORM是一款不需要提供被测程序源代码的动态黑盒安全测试与评估的解决方案。在软件开发周期中,测试人员或者程序员可以使用beSTORM对应用程序或者部署环境进行全面分析,发现软件应用的异常或漏洞,找出已知和未知的缺陷。
beSTORM采用全球先进的智能模糊引擎对测试对象自动发起数十亿种的组合攻击方式,确保产品部署前的安全,为企业节省产品上市后修复安全漏洞的高昂代价与成本。
消除误报
beSTORM通过发起真实的攻击,从外部检测应用程序,当实际攻击成功时才会报告该漏洞。相较之下,静态的源代码分析工具具有大量的误报,需要耗费大量的人力去验证。
发现已知的和未知的漏洞
静态代码测试工具通常会运行一系列特定的案例分析或场景,也许分析数千种,最好的也只分析数万种案例。然而,beSTORM执行数百万种,可能甚至是数十亿种攻击组合,这是与昨日(已知问题)和明日作战(未知漏洞)的本质区别。
智能模糊测试
beSTORM使用安全审计“模糊测试”的方法,使用测试人员很难手工产生的大批量非法输入数据组合,甚至是谨慎的测试设计人员也未曾想过的缺陷问题和异常的漏洞,或者是部署环境造成的安全问题等等。此外,beSTORM使用智能模糊测试引擎,针对发生概率高的漏洞,采用智能判断系统来展开在有效范围的攻击方式,从而更快速,更精准的获得测试结果。
beSTORM是如何工作的?
以自动化的方式全面彻底的搜索所有可能的输入组合,查找漏洞,通过将通讯协议规范转换成自动化测试用例集,着重分析技术合规的,但功能错误的情况,以自动化的方式尝试了每一种可能的输入组合,造成程序或系统崩溃、缓冲区溢出、停止响应或者产生异常日志等等异常情况。只要计算机有足够的处理能力,以及项目时间,beSTORM将会覆盖整个搜索空间,全面测试应用程序的所有可能产生的问题。
主要功能:
·灵活的自学习功能,可测试任何专有的通讯协议标准
·误报率极低,全面模拟攻击者行为,彻底捕捉深层错误
·通过测试二进制应用程序,可以完全不受编程语言或系统库的制约
·无需接触程序源代码,便于检验第三方供应商的代码安全质量
·采取优先级攻击算法,以最有效的攻击开始测试,缩短测试时间,节省程序发布成本
·处理所有的通讯标准,即使是复杂的标准,如SIP协议(用于IP产品的语音会话)等等
·强大的监视器,即使是发生最微小的缓冲区溢出,格式字符串,或内存异常等情况,也能快速识别并预警
·协议合规性,通过将RFC技术文档中使用的BNF语法转换成攻击语言,将协议标准文本转换成自动化的测试集
·全面的分析,通过进程监控,发现不易察觉的应用程序后台崩溃并快速重启或重新响应的问题
·可伸缩性,能够使用多个处理器或多台计算机分布式测试,适用于检测大型和复杂逻辑的应用程序
·测试整个协议范围,而不是仅仅测试产品的某一部分功能
·采用交互式漏洞检测模式,让程序员在自有开发环境里调试程序,并复现漏洞现场
·自动化产生高效的模糊策略及模糊数据,同时支持API扩展调用服务
beSTORM工作流程图:
挖掘深层未知漏洞,杜绝一切程序安全隐患
最低系统要求
●操作系统:Windows 7或以上, Linux Redhat ,Centos 或Debian
●驱动空间:30 MB
●内存:4GB 或以上
●处理器:i5 或以上
漏洞监视器
beSTORM具有强大的监视功能。应用程序受测时或应用程序存在于网络中时,监视器可在同一个系统中运行。它检测并记录所有的缓冲区溢出,格式字符串,或内存异常事件以及触发漏洞的确切参数。
常用监控器类型
●Windows进程
●Linux进程
●Tail
●GDB
●SSH
●SNMP(JAVA)
●Web应用
支持的协议列表 |
Wi-Fi:IEEE802.11,IEEE802.11AP,IEEE802.11u,IEEE802.14.4,IEEE802.1Q, WLN-AP, WPA-AP |
工业/SCADA/汽车:CAN-bus, CAN-FD, EtherCAT, Ethernet/IPl, BVLC, EtherCAT over UDP, OBDII, IEC 61850/GOOSE, IEC 60870-5-104, IEC 61850 (MMS), PROFINET RT, PROFINET PTCP |
传输层:IPsec AH, SCTP, SSLv2, SSLv3, TLS, Modbus |
蓝牙/BTLE:RFCOMM(蓝牙),SDP,AlternateMAC/PHY(蓝牙),L2CAP,HOGP, HFP, iBeacon, GAP, GATT (共 23 个蓝牙模块) |
网络服务器:DHCP, DNS, FTP, HTTP, HTTPS, SMTP, SSL |
EDSA:EDSA2.0,EDSA401,EDSA402ARP,EDSA403IPv4,EDSA404 ICMPv4,EDSA405UDPv4,EDSA405UDPv6,EDSA406TCPv4. |
文件:ANI, BMP, DOC (MS Word), GIF, HTML, ICO, JASC PAL, JPEG, PAL, PDF, PNG,PPT, TIFF, TGA, UPX, WAV(PCM), XLS, HWP(韩软(Hangul)) (共 23 种文件类型) |
硬件:ATT, HDMIv1.3, HDCPv1.1, HDCPv2.0, MCAP, OBEX, USB Request Block,USB Mass Storage, USB Host Testing, HSU. |
低层网络:ARP, Cisco Discovery Protocol, HSRP, HSRPv2, ICMP, IEEE 802.11, IEEE 802.14.4, IEEE 802.1Q, IP, IGMP, LLDP, NAT-PMP, PIMv2, PPPoE, RGMP, SCTP, TCP,UDP, UDPLite, ZigBee. |
网络客户端:BFD, BGP, DHCP, Diameter, DNS, Dropbox LAN Sync Discovery, FTP, GTPv1(GTP-U), HTTP/1.0, HTTP/1.1, HTTPS/1.0, HTTPS/1.1, ICAP, IMAP, IPsec AH, ISUP (SIP-I, SIP-T), ISAKMP (IKE), KIES, LDAP, LLC, LLDP, LLMNR, M3UA, MGCP (Megaco, H.248), NNTP, NTP, OSPF, POP3, Radius, RANAP, RIPng, RMI, RSH, RTP, RTSP, TAPA, SLP svrloc, SIP, SNMP (v1, v2 和v3 带/不带 MD5, SHA 和DES), SMTP, STUN, SYSLOG, SSH, TFTP, Teredo, Telnet, TPKT (RFC 1006), VRRP, DVMRP, LDP,IPP, NFS Client, Portmap Client, SMB Client, STP. |
支持新的或专有的协议标准
beSTORM提供了一个简单的界面,该界面支持从各种不同的数据块类型中创建新的测试模块。这些输入类型可能是beSTORM捕获的网络流量,也可能是使用其他方式捕获的网络流量的文件样本,或是一条描述API的语句,beSTORM使用这些数据集来确定协议或文件的创建方式,并使用XML编辑器创建或扩展beSTORM协议支持模块。
以下截图显示,beSTORM已经通过自我学习,完成分析一个专有通讯标准的结构,并列出了相关测试内容选项,当用户选择好需要测试的内容后,beSTORM会从用户选择的测试内容开始测试这个协议,然后扩展覆盖所有协议字段可能产生数百万种变化。
