Votre entreprise a développé une application de e-commerce et en tant que « Security Champion » vous avez sensibilisé toute l’équipe de développement à la sécurité applicative. Vous conseillez notamment de systématiser des tests de « fuzzing » (ou « fuzz testing »). Ce type de test consiste à injecter de grandes quantités de données mal formées, inattendues ou aléatoires dans l’application afin de vérifier son comportement et d’identifier d’éventuelles vulnérabilités. En tant qu’expert en sécurité applicative, vous recommandez une technique particulière de fuzzing qui consiste à fabriquer des données uniquement à partir des spécifications de l’application et du protocole applicatif. Ainsi les données injectées ne respectent pas le format attendu par l’application et sont susceptibles d’entrainer un dysfonctionnement de l’application. Comment appelle-t-on cette technique de test des applications ?

[A] Mutation fuzzing

[B] Generational fuzzing

[C] Dumb fuzzing

[D] Bit flipping

reponse


Question et réponse rédigées par VERISAFE selon le programme officiel du CISSP (mai 2021)
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE