[发明专利]Fuzz测试方法、装置、设备及计算机可读存储介质

说明书

本公开的实施例提供了Fuzz测试方法、装置、设备及计算机可读存储介质。所述方法包括：确定Fuzz测试目标；按照预设字典库调用策略所指示的字典库调用顺序，依次调用对应的爆破字典库；根据所述对应的爆破字典库，对所述Fuzz测试目标进行测试。以此方式，可调用不同的爆破字典库对Fuzz测试目标进行自动测试，以提高弱口令测试方式的灵活性。

技术领域

本公开涉及漏洞挖掘技术领域，尤其涉及测试技术领域。

背景技术

目前，基于已有的爆破字典进行口令爆破已成为一种广泛使用的弱口令测试方式，但此种方式仅能针对预先选择配置的字典对目标进行模拟人工的测试尝试，具体地，通常采用公网已暴露的通用的静态爆破字典库进行测试，这种测试方式相对而言发包量大，且测试方式比较固定，灵活性差；

另外，常用的静态爆破字典库与攻击者实际攻击使用的爆破字典样本差值过大，因而测试效果不佳，不能起到真正的防御性检测。

发明内容

本公开提供了一种Fuzz测试方法、装置、设备以及存储介质。

根据本公开的第一方面，提供了一种Fuzz测试方法。该方法包括：

确定Fuzz测试目标；

按照预设字典库调用策略所指示的字典库调用顺序，依次调用对应的爆破字典库；

根据所述对应的爆破字典库，对所述Fuzz测试目标进行测试。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述根据所述对应的爆破字典库，对所述Fuzz测试目标进行测试，包括：

根据预先设置的字典过滤参数，对所述对应的爆破字典库中的字典进行过滤；

利用所述对应的爆破字典库中过滤后的字典对所述Fuzz测试目标进行测试。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述字典库调用顺序包括：

调用静态爆破字典库；或者

调用动态爆破字典库；或者

先调用静态爆破字典库再调用动态爆破字典库；其中：

所述静态爆破字典库包括协议爆破字典库以及通用爆破字典库；

所述调用静态爆破字典库包括：先调用所述协议爆破字典库再调用所述通用爆破字典库。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述调用动态爆破字典库，包括：

按照字典优先级，调用所述动态爆破字典库中的各字典，其中，字典优先级根据各字典的历史爆破成功频次确定。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述方法还包括：

将内部来源下各协议中出现频次高于预设频次的字典作为第一字典；

将外部来源下各协议中出现频次前N的字典作为第二字典；

根据所述第一字典和所述第二字典，构建所述协议爆破字典库，其中，N为正整数。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述方法还包括：

动态采集目标信息；

对所述目标信息进行分词解析；

将分词解析后的目标信息进行预设处理，以生成所述动态爆破字典库，其中，

所述预设处理包括：对分词解析后的目标信息进行分组、关联性分析、排列组合然后存储；