<video id="mfngb"></video>


  • beSTORM 模糊測試工具

    全面自動化的漏洞挖掘利器

      主要特點  

    無需提供產品源代碼, 以動態黑盒的方式測試軟件產品
    通過嘗試攻擊,查看攻擊是否成功,查找漏洞
    測試覆蓋所有層級,包括:網絡,協議,文件,硬件,DLL 和 API
    徹底測試所有可能出現漏洞的場景,無需預置特定數量的測試場景
    支持自學習功能,能快速學習私有協議(文本或二進制)
    適用于安全合規性檢查的可重復的測試

    客戶評價

    “beSTORM 讓我們印象深刻?!?/h2>

    “beSTORM有個顯著的特點,它能夠靈活添加新協議和 專有協議?!?br/>“我們主動擴大了它的使用范圍,將它作為標準安全測試流程的一部分,應用到我們所有的產品中去?!?/span>

    產品概述                                                          

    軟件總會有Bug,問題是有多少Bug?有多嚴重?會被黑客發現利用攻擊?對于系統總體安全而言, 內在的安全性是非常有必要的,安全性是整體系統的突顯特性。
    黑客們的殺手锏,就是用模糊測試的方法來尋找軟件的安全漏洞;一旦發現漏洞,就會針對漏洞進行開發利用或者直接進行服務攻擊。先敵而動,以敵人的方式來攻擊自身,預先尋找準備對策。任何協議棧和服務都有可能發現漏洞,復雜程度與漏洞的數量成正比,越復雜的軟件實現,越有可能找到更多的漏洞。
    beSTORM測試工具就是基于Blackbox黑盒的(Fuzzing)模糊性/健壯性/安全性測試,以此來發現設備應對攻擊的承受能力。不僅只是應對黑客的攻擊,更多的是提高軟件的總體質量,減少軟件的未知缺陷,是軟件開發生命周期(SDLC)中必不可少的安全測試環節之一。

    beSTORM與其他工具的區別

    beSTORM是一款不需要提供被測程序源代碼的動態黑盒安全測試與評估的解決方案。在軟件開發周期中,測試人員或者程序員可以使用beSTORM對應用程序或者部署環境進行全面分析,發現軟件應用的異?;蚵┒?,找出已知和未知的缺陷。
    beSTORM采用全球先進的智能模糊引擎對測試對象自動發起數十億種的組合攻擊方式,確保產品部署前的安全,為企業節省產品上市后修復安全漏洞的高昂代價與成本。

    消除誤報

    beSTORM通過發起真實的攻擊,從外部檢測應用程序,當實際攻擊成功時才會報告該漏洞。
    相較之下,靜態的源代碼分析工具具有大量的誤報,需要耗費大量的人力去驗證。

    發現已知的和未知的漏洞

    靜態代碼測試工具通常會運行一系列特定的案例分析或場景,也許分析數千種,最好的也只分析數萬種案例。然而,beSTORM執行數百萬種,可能甚至是數十億種攻擊組合,這是與昨日(已知問題)和明日作戰(未知漏洞)的本質區別。

    智能模糊測試

    beSTORM使用安全審計“模糊測試”的方法,使用測試人員很難手工產生的大批量非法輸入數
    跟據組合,甚至是謹慎的測試設計人員也未曾想過的缺陷問題和異常的漏洞,或者是部署環境造成的安全問題等等。此外,beSTORM使用智能模糊測試引擎,針對發生概率高的漏洞,采用智能判斷系統來展開在有效范圍的攻擊方式,從而更快速,更精準的獲得測試結果。

    產品功能                                                                  

    beSTORM是如何工作的?

    以自動化的方式全面徹底的搜索所有可能的輸入組合,查找漏洞,通過將通訊協議規范轉換成自動化測試用例集,著重分析技術合規的,但功能錯誤的情況,以自動化的方式嘗試了每一種可能的輸入組合,造成程序或系統崩潰、緩沖區溢出、停止響應或者產生異常日志等等異常情況。只要計算機有足夠的處理能力,以及項目時間,beSTORM將會覆蓋整個搜索空間,全面測試應用程序的所有可能產生的問題。

    主要功能:

    ·靈活的自學習功能,可測試任何專有的通訊協議標準
    ·誤報率極低,全面模擬攻擊者行為,徹底捕捉深層錯誤
    ·通過測試二進制應用程序,可以完全不受編程語言或系統庫的制約
    ·無需接觸程序源代碼,便于檢驗第三方供應商的代碼安全質量
    ·采取優先級攻擊算法,以最有效的攻擊開始測試,縮短測試時間,節省程序發布成本
    ·處理所有的通訊標準,即使是復雜的標準,如SIP協議(用于IP產品的語音會話)等等
    ·強大的監視器,即使是發生最微小的緩沖區溢出,格式字符串,或內存異常等情況,也能快速識別并預警
    ·協議合規性,通過將RFC技術文檔中使用的BNF語法轉換成攻擊語言,將協議標準文本轉換成自動化的測試集
    ·全面的分析,通過進程監控,發現不易察覺的應用程序后臺崩潰并快速重啟或重新響應的問題
    ·可伸縮性,能夠使用多個處理器或多臺計算機分布式測試,適用于檢測大型和復雜邏輯的應用程序
    ·測試整個協議范圍,而不是僅僅測試產品的某一部分功能
    ·采用交互式漏洞檢測模式,讓程序員在自有開發環境里調試程序,并復現漏洞現場
    ·自動化產生高效的模糊策略及模糊數據,同時支持API擴展調用服務

    beSTORM工作流程圖:

    f56abf2e62886a8291201939fad6d2a5.jpg

    oidgrαnny日本老熟妇