Votre entreprise a développé une application de e-commerce et en tant que « Security Champion » vous avez sensibilisé toute l’équipe de développement à la sécurité applicative. Vous conseillez notamment de systématiser des tests de « fuzzing » (ou « fuzz testing »). Ce type de test consiste à injecter de grandes quantités de données mal formées, inattendues ou aléatoires dans l’application afin de vérifier son comportement et d’identifier d’éventuelles vulnérabilités. En tant qu’expert en sécurité applicative, vous recommandez une technique particulière de fuzzing qui consiste à fabriquer des données uniquement à partir des spécifications de l’application et du protocole applicatif. Ainsi les données injectées ne respectent pas le format attendu par l’application et sont susceptibles d’entrainer un dysfonctionnement de l’application. Comment appelle-t-on cette technique de test des applications ?
[A] Mutation fuzzing
[B] Generational fuzzing
[C] Dumb fuzzing
[D] Bit flipping
La question n’est pas très simple surtout si on n’est pas un habitué des tests de sécurité ou que l’on n’a pas travaillé en détail le sujet avec les livres de l’ISC2. On constate que la majorité des participants sur Linkedin (57%) a proposé « Dump fuzzing » mais hélas ce n’est pas la bonne réponse. Et comme disait Coluche, « C’est pas parce qu’ils sont nombreux à avoir tort qu’ils ont raison. »
En matière de fuzzing, il y a grosso-modo 2 catégories : Le mutation (ou dumb) fuzzing et le generational (ou Intelligent) fuzzing. Par conséquent, la proposition [A] est identique à la proposition [C] et comme il n’y a qu’une et une seule bonne réponse, ça ne peut donc pas être [A] ou [C].
Et si on rajoute le fait que le « bit flipping » est une forme de mutation fuzzing, on peut également écarter la proposition [D]. En effet la technique de test de fuzzing appelée « bit flipping » consiste à faire de très légères modifications sur les données d’où son nom de « bit flipping ». On fait de faibles mutations des données et c’est donc une sous-catégorie du fuzzing par mutation des données.
Voilà ici une technique de « hack » de l’examen CISSP à apprendre : Elle consiste à trouver la bonne réponse par de simples déductions liées aux autres propositions. Il faut bien sûr avoir quelques connaissances sur le sujet mais on n’est pas obligé de connaître véritablement la bonne réponse.
La bonne réponse est donc la proposition [B] Generational fuzzing (également appelé Intelligent fuzzing)
Mutation (Dumb) Fuzzing Takes previous input values from actual operation of the software and manipulates (or mutates) it to create fuzzed input. It might alter the characters of the content, append strings to the end of the content, or perform other data manipulation techniques.
Generational (Intelligent) Fuzzing Develops data models and creates new fuzzed input based on an understanding of the types of data used by the program.
Pour en savoir plus sur la sécurité applicative nous vous recommandons de suivre les modules n°20 et 21 de la formation CISSP de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
