27/4/2010
FuzzDB to obszerny zbiór ciągów, wyrażeń wykorzystywanych w atakach na aplikację. Oprócz nich, baza zawiera także nazwy często wykorzystywanych ścieżek i treść popularnych komunikatów o błędach. Wzorce zawarte w bazie z pewnością przydadzą się pentesterom do znalezienia podatności w aplikacjach.
Informacje umieszczone w bazie fuzzdb zostały podzielone pod kątem typów ataków, platformy i aplikacji. I tak, mamy w niej wyrażenia wykorzystywane w atakach typu:
- xss
- sql-injection
- fortmat strings
- integer overflow
- path traversal
Baza jest darmowa i z pewnością przyda się przy atakach typu brute-force. Dzięki niej można szybciej odnaleźć “interesujące” z punktu widzenia atakującego pliki (ataki typu forced-browsing) oraz lepiej zinterpretować komunikaty pochodzące od serwera w trakcie zalewania go testowymi danymi (fuzzingu).
FuzzDB w wersji 1.06 można pobrać stąd lub skorzystać z svn (zalecane):
svn checkout http://fuzzdb.googlecode.com/svn/trunk/ fuzzdb-read-only
Panda wykrywa trojana w archiwum .tgz
Wszystko ładnie, wszystko fajnie, a Kaspersky czuje trojana ;)
Prze Pana, a co to są “kunikaty”?
Zapewne słownika zabrakło autorowi,
powinien wpierw “svn co svn://addons.mozilla.org” zrobić na swoim słowniku ;)
antywirusy nie lubią fuzzdb.googlecode.com/files/fuzzdb-1.06.tgz
3/4 ma wątpliwości: http://www.virustotal.com/analisis/421b9b2d38349086474fe605a145e7ce0541ab3f14e76e684ef8dda4b1717a11-1272399474
;D
Hehe, bezpiecznik powinien wiedzieć, kiedy antywirus przesadza ;)