Differences
This shows you the differences between two versions of the page.
|
ss:laboratoare:06 [2025/02/20 16:30] 127.0.0.1 external edit |
ss:laboratoare:06 [2025/02/26 00:28] (current) jan.vaduva [Resurse suplimentare] |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | ===== Laboratorul 06. ===== | + | ====== Laborator 6: Aplicarea Fuzzing-ului pentru Testarea de Securitate ====== |
| + | |||
| + | ===== Obiective ===== | ||
| + | * Introducerea conceptului de fuzzing și aplicarea acestuia pentru identificarea vulnerabilităților în aplicația dezvoltată în laboratoarele anterioare | ||
| + | * Utilizarea unor framework-uri de fuzzing pentru testarea API-urilor, componentelor web și procesării imaginilor | ||
| + | * Identificarea și analiza defectelor de securitate cauzate de input-uri neașteptate | ||
| + | |||
| + | ===== Cerințe tehnologice ===== | ||
| + | * **Instrumente de fuzzing**: AFL++ (American Fuzzy Lop), BooFuzz, ZAP (OWASP Zed Attack Proxy), fuzzing nativ pentru Python, JavaScript sau alte limbaje utilizate | ||
| + | * **Target de testare**: Endpoint-uri API, procesare imagini, module critice ale aplicației | ||
| + | * **CI/CD Integration**: Posibilitatea de a rula fuzzing în mod automat în pipeline | ||
| + | * **Format de raportare**: JSON, HTML, logs | ||
| + | |||
| + | ===== Funcționalități ===== | ||
| + | |||
| + | ==== 1. Configurarea și aplicarea fuzzing-ului ==== | ||
| + | * Alegerea unui target relevant pentru fuzzing (API, procesare imagini, interfață utilizator) | ||
| + | * Configurarea generatorului de input-uri și a strategiilor de mutație | ||
| + | * Rularea testelor și analiza comportamentului aplicației în fața datelor generate | ||
| + | |||
| + | ==== 2. Detectarea și analiza vulnerabilităților ==== | ||
| + | * Identificarea crash-urilor, excepțiilor și erorilor de securitate | ||
| + | * Analiza log-urilor și interpretarea rezultatelor fuzzing-ului | ||
| + | * Propunerea unor măsuri de remediere pentru problemele descoperite | ||
| + | |||
| + | ==== 3. Automatizarea fuzzing-ului în CI/CD ==== | ||
| + | * Integrarea fuzzing-ului ca un pas automat în pipeline-ul de livrare | ||
| + | * Setarea unor criterii pentru oprirea testelor și raportarea vulnerabilităților | ||
| + | * Generarea de rapoarte detaliate pentru fiecare execuție | ||
| + | |||
| + | ===== Evaluare ===== | ||
| + | * Configurarea corectă a unui framework de fuzzing (30%) | ||
| + | * Detectarea și analiza vulnerabilităților descoperite (40%) | ||
| + | * Integrarea fuzzing-ului în pipeline-ul CI/CD (30%) | ||
| + | |||
| + | ===== Resurse suplimentare ===== | ||
| + | * [https://aflplus.plus/ AFL++ Documentation] / [https://github.com/jtpereyda/boofuzz BooFuzz Repository] | ||
| + | * [https://www.zaproxy.org OWASP ZAP] / [https://owasp.org/www-community/Fuzzing OWASP Fuzzing Guide] | ||
| + | * [https://lcamtuf.coredump.cx/afl AFL Fuzzing Guide] | ||
| + | * [https://docs.python.org/3/library/fuzzing.html Python Fuzzing Techniques] | ||
