Votre entreprise a développé une application de e-commerce et en tant que « Security Champion » vous avez sensibilisé toute l’équipe de développement à la sécurité applicative. Vous conseillez notamment de systématiser des tests de « fuzzing » (ou « fuzz testing »). Ce type de test consiste à injecter de grandes quantités de données mal formées, inattendues ou aléatoires dans l’application afin de vérifier son comportement et d’identifier d’éventuelles vulnérabilités. En tant qu’expert en sécurité applicative, vous recommandez une technique particulière de fuzzing qui consiste à fabriquer des données uniquement à partir des spécifications de l’application et du protocole applicatif. Ainsi les données injectées ne respectent pas le format attendu par l’application et sont susceptibles d’entrainer un dysfonctionnement de l’application. Comment appelle-t-on cette technique de test des applications ?

[A] Mutation fuzzing

[B] Generational fuzzing

[C] Dumb fuzzing

[D] Bit flipping


reponse linkedin

LK CBK8 Q01


La question n’est pas très simple surtout si on n’est pas un habitué des tests de sécurité ou que l’on n’a pas travaillé en détail le sujet avec les livres de l’ISC2. On constate que la majorité des participants sur Linkedin (57%) a proposé « Dump fuzzing » mais hélas ce n’est pas la bonne réponse. Et comme disait Coluche, « C’est pas parce qu’ils sont nombreux à avoir tort qu’ils ont raison. »

En matière de fuzzing, il y a grosso-modo 2 catégories : Le mutation (ou dumb) fuzzing et le generational (ou Intelligent) fuzzing. Par conséquent, la proposition [A] est identique à la proposition [C] et comme il n’y a qu’une et une seule bonne réponse, ça ne peut donc pas être [A] ou [C].

Et si on rajoute le fait que le « bit flipping » est une forme de mutation fuzzing, on peut également écarter la proposition [D]. En effet la technique de test de fuzzing appelée « bit flipping » consiste à faire de très légères modifications sur les données d’où son nom de « bit flipping ». On fait de faibles mutations des données et c’est donc une sous-catégorie du fuzzing par mutation des données.

Voilà ici une technique de « hack » de l’examen CISSP à apprendre : Elle consiste à trouver la bonne réponse par de simples déductions liées aux autres propositions. Il faut bien sûr avoir quelques connaissances sur le sujet mais on n’est pas obligé de connaître véritablement la bonne réponse.

La bonne réponse est donc la proposition [B] Generational fuzzing (également appelé Intelligent fuzzing)

CISSP OSG 2021Mutation (Dumb) Fuzzing Takes previous input values from actual operation of the software and manipulates (or mutates) it to create fuzzed input. It might alter the characters of the content, append strings to the end of the content, or perform other data manipulation techniques.

Generational (Intelligent) Fuzzing Develops data models and creates new fuzzed input based on an understanding of the types of data used by the program.


Question et réponse rédigées par VERISAFE selon le programme officiel du CISSP (mai 2021)
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE