Fuzz Testing for Fun and Profit Presented by: - - PDF document
W3 Testing at Scale Wednesday, October 2nd, 2019 11:30 AM Fuzz Testing for Fun and Profit Presented by: Melissa Benua
Testing ¡at ¡Scale ¡ Wednesday, ¡October ¡2nd, ¡2019 ¡11:30 ¡AM ¡ ¡ ¡ ¡ ¡
Presented ¡by: ¡ ¡ ¡
¡ mParticle ¡ ¡
Brought ¡to ¡you ¡by: ¡ ¡ ¡ ¡
¡
¡
¡ ¡
888-‑-‑-‑268-‑-‑-‑8770 ¡·√·√ ¡904-‑-‑-‑278-‑-‑-‑0524 ¡-‑ ¡info@techwell.com ¡-‑ ¡http://www.starwest.techwell.com/ ¡ ¡ ¡
¡
¡ ¡ ¡
¡
¡ In ¡her ¡career ¡at ¡companies ¡from ¡large ¡to ¡small, ¡Melissa ¡Benua ¡has ¡worked ¡in ¡nearly ¡ every ¡software ¡development ¡role ¡-‑ ¡engineer, ¡test, ¡DevOps, ¡and ¡program ¡
and ¡Microsoft ¡on ¡products ¡such ¡as ¡Bing, ¡Cortana, ¡and ¡Xbox ¡One. ¡Melissa ¡discovered ¡ her ¡love ¡of ¡massively-‑scaled ¡systems ¡while ¡working ¡on ¡the ¡Bing ¡backend, ¡where ¡she ¡ honed ¡the ¡art ¡of ¡keeping ¡highly-‑available ¡complex ¡systems ¡up ¡while ¡undergoing ¡ massive ¡code ¡churn. ¡Now ¡a ¡senior ¡engineer ¡and ¡manager ¡at ¡the ¡disruptive ¡gaming ¡ startup ¡PlayFab, ¡Melissa ¡isn’t ¡afraid ¡to ¡mix ¡traditional ¡approaches ¡with ¡bold ¡new ¡ ideas ¡to ¡make ¡her ¡products ¡better, ¡faster, ¡and ¡more ¡reliable. ¡She’s ¡passionate ¡not ¡
tools ¡but ¡also ¡about ¡sharing ¡best ¡practices ¡among ¡colleagues ¡and ¡the ¡tech ¡world ¡at ¡ large! ¡ ¡
9/27/19 1 Melissa Benua / Senior Engineering Manager
STARWEST 2019
Melissa Benua
Senior Engineering Manager mParticle
Get in touch!
mbenua@gmail.com @queenofcode
Follow my work!
https://www.linkedin.com/in/mbenua/ https://www.slideshare.net/MelissaBenua/ https://github.com/queen-of-code/ https://queenofcode.net
9/27/19 2
AKA T’ed Traffic Performance Environment
Optimized for driving out performance issues and doing perf testing
Release Candidate B
More new code!
Parallel Prod
Production, but with additional debugging
Release Candidate A
New code!
PRODUCTIO N ENV
Fuzz Testing
input to explore the bounds of a system under test
Attack
bug
Manipulation
input and an attack
Creation Manipulation
novo generated input from an attack
Insertion Manipulation
input to include an attack
Generational Manipulation
an input based on system behavior
9/27/19 3
Model Attack Set Plan PROFIT!!
GET https://www.bing.com/search?q=ponies&qs=n&form=QBRE HTTP/1.1 User-Agent: Fiddler/4.6.20171.9220 (.NET 4.6.2) Host: www.bing.com Accept-Language: en-US Accept-Encoding: gzip, deflate, br Accept: text/html,application/xhtml+xml Pragma: no-cache Cookie: DUP=Q=N51ltffjRFaNUXQ2&T=69727&A=1&IG=140419BB6CF3209258263; SRCHS=PC=U316; SRCHD=AF=CHROMN; SRCHUID=V=2&GUID= 2222333DDDD3333C0C0C0C0F00D33227 &dmnchg=1; _EDGE_V=1; MUID=2222333DDDD3333C0C0C0C0F00D33227; _ITAB=STAB=REC;
Method URI Version Headers Header Values Cookie Values Query Params
9/27/19 4
POST https://s2s.mparticle.com/v2/events HTTP/1.1 Host: s2s.mparticle.com Authorization: Basic ZXhhbXBsZS1hcGkta2V5OmV4YW1wbGUtYXBpLXNlYAAAAA== { "events" : [ { "data" : { "timestamp_unixtime_ms" : 1402521613976, "event_name" : "click“ }, "event_type" : "custom_event" } ], "device_info" : { "brand": "iPhone6,1", "ios_advertising_id": "613ff528-afd1-4c1b-9628-e6ed25ece9c0“ }, "user_identities" : { "customerid": "1234", "other" : “helpers@mparticle.com” }, "schema_version": 2, "environment": “development" }
Method URI Version JSON POST Body Headers Array Object Random String
SQL Injection
information_schema.tables-- Control Characters
XSS
%20javascript:alert(\'Cross %2520Browser%!\’);” Integer Overflow
Redirects
9/27/19 5
GEAAT https://www.bi%20ng.com/(oNcliCk=alert())?q=ponies HTTP/1.1 User-Agent: /cgi-bin/redirect.cgi?www.google.com Host: www.bing.com AAAAccept-Language: 0xFFFFFFF NULL: text/html,application/xhtml+xml Pragma: no-cache “”: DUP=Q=N51ltffjRFaNUXQ2&T=69727&A=1&IG=140419BB6CF3209258263; SRCHS=PC=U316; C:/boot.ini=AF=CHROMN; SRCHUID=V=2&GUID= 2222333DDDD3333C0C0C0C0F00D33227 &dmnchg=1; _EDGE_V=1; MUID=2222333DDDD3333C0C0C0C0F00D33227; _ITAB=STAB=REC;
<Request MaxAttacks=“3”> <Method AttackSet=“AttacksA” Probability=“5%” MaxAttacks=“1”/> <URI> <Host Probability=“0%” /> <Path AttackSet=“AttackSetPath” Probability=“10%” MaxAttacks=“2”/> <QueryLine AttackSet=“Values” Probability=“50%” MaxAttacks=“2”/> </URI> <Headers KeyChance=“2%” KeyAttacks=“AttacksA” ValueChance=“25%” ValueAttacks=“Values” > <Authorization KeyChance=“0%” ValueChance=“10%” /> </Headers> <Cookie KeyChance=“2%” KeyAttacks=“AttacksA” ValueChance=“25%” ValueAttacks=“Values” /> </Request>
9/27/19 6
GET https://www.bing.com/search?q=AAAAAA%20&qs=n&form=QBRE HTTP/1.1 User-Agent: Fiddler/4.6.20171.9220 (.NET 4.6.2) Host: www.bing.com Accept-Language: en-US Accept-Encoding: gzip, deflate, br Accept: text/html,application/xhtml+xml Pragma: no-cache Cookie: DUP=Q=N51ltffjRFaNUXQ2&T=69727&A=1&IG=140419BB6CF3209258263; SRCHS=PC=U316; SRCHD=AF=CHROMN; SRCHUID=V=2&GUID= 2222333DDDD3333C0C0C0C0F00D33227 &dmnchg=1; _EDGE_V=1; MUID=(oNcliCk=alert()); _ITAB=STAB=REC;
POST https://s2s.mparticle.com/v2/events HTTP/1.1 Host: s2s.mparticle.com Authorization: Basic ZXhhbXBsZS1hcGkta2V5OmV4YW1wbGUtYXBpLXNlYAAAAA== { "events" : [ { "data" : { "timestamp_unixtime_ms" : 0xFFFFFFFF, "event_name" : "click“ }, "event_type" : "custom_event" } ], "device_info" : { "brand": "iPhone6,1", "ios_advertising_id": "613ff528-afd1-4c1b-9628-e6ed25ece9c0“ }, "user_identities" : { "customerid": ";alert(\'Cross%2520Browser%!\’);", "other" : "helpers@mparticle.com" } }
9/27/19 7
Crashes
Buffer Overflow Exceptions
Memory Problems
Leaks Thread Contamination
Exploits
SQL Injection XSS Code Execution
How do you know you found a problem?
Metrics Logs Core Dumps Side Effects
9/27/19 8
If you:
Try out:
introduction to deep dive; uses Python as an example for crafting in-depth fuzzing runs
https://github.com/google/AFL - Security-focused fuzzer utilizing code coverage to guide genetic algorithms
Dictionary of useful attacks for use in fuzzing
https://www.blackarch.org/fuzzer.html – A (non-exhaustive but good) list of fuzzers across platforms and models
9/27/19 9
GET IN TOUCH!
Learn more Melissa Benua Senior Engineering Manager mbenua@gmail.com @queenofcode