Easy Fuzzing: просто о сложном

Сергей в своём канале Протестировал поделился важной новостью и поднял важную тему про свой инструмент luzer. Для тех, кто не в курсе, luzer - это инструмент для тестирования Lua-кода методом фаззинга с анализом покрытия. Про него есть отличные материалы: - Доклад «Добавляем поддержку скриптового языка в AFL и LibFuzzer на примере Lua» с конференции Heisenbug - Доклад «Фаззинг как основа эффективной разработки на примере LuaJIT» с последнего PHDays и его текстовая версия в виде статьи ...

Ребята из Cyber Media "поймали" после очередного митапа и позадавали разные вопросы про фаззинг-тестирование: от что это вообще такое до как попробовать — https://t.me/secmedia/2338 или ссылка сразу на интервью. Enjoy!

Спасибо всем кто пришел и смотрел. Рассказал о применении «модного» генеративного ИИ для задач инженера ИБ и фаззинге в частности.

Существует такой замечательный проект, который "относительно" недавно получил реинкарнацию под цифрой 2 - Open Security Training. Для тех, кто не знает, это ресурс с курсами по Кибербезопасности, покрывающий довольно нишевые, а часть так и называют - низкого уровня, области. К примеру, безопасная загрузка, отладчики ядра, архитектуры вроде risc-v и .т.п.  На сайте опубликованы схемы в каком порядке стоит обучаться той или иной области и... это всё бесплатно. Проект поддерживается волонтёрам...

Вот и прошёл Offzone 2023, все гости вернулись по своим городам и странам. Спасибо организаторам, что позволили представить наш большой опенсорс проект. Отдельно хотелось бы отметить по тематике канала, что первая половина основного трэка второго дня у организаторов получилась некой лайт-версией европейской конференции Fuzzcon. Так и до отдельной конференции, посвященной фаззингу, недалеко :) Доклады получились и про инструменты и про процессы, так что ждём в записи: - Как пофаззить тысячи прило...

Чаты и каналы Telegram по информационной безопасности 2024: https://zlonov.ru/telegram-security-list-2024/

4-5 декабря прошла конференция ISP RAS Open, которую из года в год организует ИСП РАН. Я в основном был на секции, посвященной SDL, но в других залах тоже было интересно. Например в Синем зале было много докладов, по теме фаззинга и модел-чекинга: Доклады секции «Технологии анализа, моделирования и трансформации программ» (Синий зал): 1-й день, видеозапись https://www.youtube.com/watch?v=_PMywI4MTL0 (таймкоды в описании видео) - Разработка прототипа безопасного компилятора на основе Clang - Прог...

Недавно security-команда Google в своем блоге рассказала о развитии и планах на oss-fuzz-gen. Об этом фреймворке и подобным решениям рассказывал на Дефкон НН, слайды с которого как раз опубликованы выше. Напомню как работал фреймворк на момент релиза в опенсорс: 1. LLM генерирует черновик фаззинг-теста для указанной функции, читай пишет тест 2. Попытка запустить фаззинг-тест и если есть ошибки компиляции, отправляем запрос в LLM на как исправить и повторяем пока фаззинг-тест не запустится 3. Пер...

Привет. Спишь?) А мы тут записи докладов и презентации к ним выложили: — Track 1, — Track 2, — Community Track, — AppSec.Zone, — AntiFraud.Zone, — CTF.Zone. Сохраняйте себе и делитесь с друзьями! ®️

С Наступающими! В уходящем году посты стали появляться конечно «чаще», но не так, как хотелось бы, а ведь в сфере фаззинг-тестирования происходит много интересного и полезного. Поэтому отличный повод дать обещание исправиться и писать чаще. К тому же черновики ждут! 😏