എന്താണ് ഫസിങ്ങ്?
ആമുഖം: എന്താണ് ഫസിങ്ങ്?
2014ൽ ചൈനീസ് ഹാക്കർമാർ കമ്മ്യൂണിറ്റി ഹെൽത്ത് സിസ്റ്റത്തിലേക്ക് ഹാക്ക് ചെയ്യപ്പെട്ടു, ലാഭേച്ഛയില്ലാതെ പ്രവർത്തിക്കുന്ന യുഎസ് ആശുപത്രി ശൃംഖല, 4.5 ദശലക്ഷം രോഗികളുടെ ഡാറ്റ മോഷ്ടിച്ചു. ഹാക്കിംഗിന് കുറച്ച് മാസങ്ങൾക്ക് മുമ്പ് ഓപ്പൺഎസ്എസ്എൽ ക്രിപ്റ്റോഗ്രഫി ലൈബ്രറിയിൽ കണ്ടെത്തിയ ഹാർട്ട്ബ്ലീഡ് എന്ന ബഗ് ഹാക്കർമാർ ചൂഷണം ചെയ്തു.
ഹാർട്ട്ബ്ലീഡ് എന്നത് ആക്രമണ വെക്ടറുകളുടെ ഒരു വിഭാഗത്തിന്റെ ഒരു ഉദാഹരണമാണ്, ഇത് പ്രാഥമിക പരിശോധനകൾ പാസാക്കുന്നതിന് മതിയായ സാധുതയുള്ള വികലമായ അഭ്യർത്ഥനകൾ അയച്ചുകൊണ്ട് ആക്രമണകാരികളെ ലക്ഷ്യത്തിലേക്ക് പ്രവേശിക്കാൻ അനുവദിക്കുന്നു. ഒരു ആപ്പിന്റെ വിവിധ ഭാഗങ്ങളിൽ പ്രവർത്തിക്കുന്ന പ്രൊഫഷണലുകൾ അതിന്റെ സുരക്ഷ ഉറപ്പാക്കാൻ പരമാവധി ശ്രമിക്കുമ്പോൾ, ഒരു ആപ്പിനെ തകർക്കുന്നതോ വികസന സമയത്ത് അതിനെ ദുർബലമാക്കുന്നതോ ആയ എല്ലാ കോർണർ കേസുകളും ചിന്തിക്കുക അസാധ്യമാണ്.
ഇവിടെയാണ് 'ഫസിങ്ങ്' വരുന്നത്.
എന്താണ് ഫസിങ്ങ് അറ്റാക്ക്?
ഒരു പ്രോഗ്രാമിലേക്ക് ക്രമരഹിതമോ അപ്രതീക്ഷിതമോ അസാധുവായതോ ആയ ഡാറ്റ (ഫസ് എന്ന് വിളിക്കുന്നു) നൽകുന്നതിന് ഉപയോഗിക്കുന്ന ഒരു ഓട്ടോമേറ്റഡ് സോഫ്റ്റ്വെയർ ടെസ്റ്റിംഗ് സാങ്കേതികതയാണ് ഫസ്സിംഗ്, ഫസ് ടെസ്റ്റിംഗ് അല്ലെങ്കിൽ ഫസ്സിംഗ് അറ്റാക്ക്. ബഫർ ഓവർഫ്ലോകൾ, ക്രാഷുകൾ, മെമ്മറി ലീക്കേജുകൾ, ത്രെഡ് ഹാങ്ങുകൾ, റീഡ്/റൈറ്റ് ആക്സസ് ലംഘനങ്ങൾ എന്നിവ പോലുള്ള അസാധാരണമോ അപ്രതീക്ഷിതമോ ആയ പെരുമാറ്റങ്ങൾക്കായി പ്രോഗ്രാം നിരീക്ഷിക്കപ്പെടുന്നു. അസാധാരണമായ പെരുമാറ്റത്തിന്റെ കാരണം കണ്ടെത്തുന്നതിന് ഫസ്സിംഗ് ടൂൾ അല്ലെങ്കിൽ ഫസ്സർ ഉപയോഗിക്കുന്നു.
എല്ലാ സിസ്റ്റങ്ങളിലും കണ്ടുപിടിക്കാൻ കാത്തിരിക്കുന്ന ബഗുകൾ അടങ്ങിയിരിക്കുന്നുവെന്ന അനുമാനത്തെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് ഫസ്സിംഗ്, അതിനായി മതിയായ സമയവും വിഭവങ്ങളും നൽകാം. മിക്ക സിസ്റ്റങ്ങൾക്കും നല്ല പാഴ്സറുകൾ അല്ലെങ്കിൽ ഇൻപുട്ട് മൂല്യനിർണ്ണയം തടയുന്നു സൈബർ ക്രിമിനലുകൾ ഒരു പ്രോഗ്രാമിലെ ഏതെങ്കിലും സാങ്കൽപ്പിക ബഗുകൾ ചൂഷണം ചെയ്യുന്നതിൽ നിന്ന്. എന്നിരുന്നാലും, ഞങ്ങൾ മുകളിൽ സൂചിപ്പിച്ചതുപോലെ, വികസന സമയത്ത് എല്ലാ കോർണർ കേസുകളും കവർ ചെയ്യുന്നത് ബുദ്ധിമുട്ടാണ്.
ഘടനാപരമായ ഇൻപുട്ട് സ്വീകരിക്കുന്ന അല്ലെങ്കിൽ ഏതെങ്കിലും തരത്തിലുള്ള ട്രസ്റ്റ് ബൗണ്ടറി ഉള്ള പ്രോഗ്രാമുകളിൽ ഫസറുകൾ ഉപയോഗിക്കുന്നു. ഉദാഹരണത്തിന്, PDF ഫയലുകൾ സ്വീകരിക്കുന്ന ഒരു പ്രോഗ്രാമിന്, ഫയലിന് ഒരു .pdf എക്സ്റ്റൻഷനും PDF ഫയൽ പ്രോസസ്സ് ചെയ്യുന്നതിനുള്ള പാർസറും ഉണ്ടെന്ന് ഉറപ്പാക്കാൻ ചില സാധൂകരണം ഉണ്ടായിരിക്കും.
ഈ അതിരുകൾ മറികടക്കാൻ മതിയായ സാധുതയുള്ള ഇൻപുട്ടുകൾ സൃഷ്ടിക്കാൻ ഫലപ്രദമായ ഫസറിന് കഴിയും, എന്നാൽ പ്രോഗ്രാമിന് താഴെയുള്ള അപ്രതീക്ഷിതമായ പെരുമാറ്റത്തിന് കാരണമാകുന്നത്ര അസാധുവാണ്. ഇത് പ്രധാനമാണ്, കാരണം മൂല്യനിർണ്ണയങ്ങൾ മറികടക്കാൻ കഴിയുന്നത് കൂടുതൽ ദോഷം വരുത്തുന്നില്ലെങ്കിൽ കൂടുതൽ അർത്ഥമാക്കുന്നില്ല.
SQL ഇഞ്ചക്ഷൻ, ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ്, ബഫർ ഓവർഫ്ലോ, ഡിനയൽ-ഓഫ്-സർവീസ് ആക്രമണങ്ങൾ എന്നിവയുൾപ്പെടെ വളരെ സാമ്യമുള്ള ആക്രമണ വെക്റ്ററുകൾ ഫസറുകൾ കണ്ടെത്തുന്നു. ഈ ആക്രമണങ്ങളെല്ലാം ഒരു സിസ്റ്റത്തിലേക്ക് അപ്രതീക്ഷിതമോ അസാധുവായതോ ക്രമരഹിതമായതോ ആയ ഡാറ്റ നൽകുന്നതിന്റെ ഫലമാണ്.
ഫസ്സറുകളുടെ തരങ്ങൾ
ചില സവിശേഷതകളെ അടിസ്ഥാനമാക്കി ഫസറുകളെ തരംതിരിക്കാം:
- ആക്രമണ ലക്ഷ്യങ്ങൾ
- ഫസ് സൃഷ്ടിക്കൽ രീതി
- ഇൻപുട്ട് ഘടനയെക്കുറിച്ചുള്ള അവബോധം
- പ്രോഗ്രാമിന്റെ ഘടനയെക്കുറിച്ചുള്ള അവബോധം
1. ആക്രമണ ലക്ഷ്യങ്ങൾ
ഈ വർഗ്ഗീകരണം ഫസർ പരീക്ഷിക്കാൻ ഉപയോഗിക്കുന്ന പ്ലാറ്റ്ഫോമിനെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്. നെറ്റ്വർക്ക് പ്രോട്ടോക്കോളുകൾക്കും സോഫ്റ്റ്വെയർ ആപ്ലിക്കേഷനുകൾക്കുമൊപ്പം ഫസ്സറുകൾ സാധാരണയായി ഉപയോഗിക്കുന്നു. ഓരോ പ്ലാറ്റ്ഫോമിനും ഒരു പ്രത്യേക തരം ഇൻപുട്ട് ലഭിക്കുന്നു, അതിനാൽ വ്യത്യസ്ത തരം ഫസറുകൾ ആവശ്യമാണ്.
ഉദാഹരണത്തിന്, ആപ്ലിക്കേഷനുകൾ കൈകാര്യം ചെയ്യുമ്പോൾ, യൂസർ ഇന്റർഫേസ്, കമാൻഡ്-ലൈൻ ടെർമിനൽ, ഫോമുകൾ/ടെക്സ്റ്റ് ഇൻപുട്ടുകൾ, ഫയൽ അപ്ലോഡുകൾ എന്നിവ പോലുള്ള ആപ്ലിക്കേഷന്റെ വിവിധ ഇൻപുട്ട് ചാനലുകളിൽ എല്ലാ അവ്യക്തമായ ശ്രമങ്ങളും സംഭവിക്കുന്നു. അതിനാൽ ഫസർ ജനറേറ്റ് ചെയ്യുന്ന എല്ലാ ഇൻപുട്ടുകളും ഈ ചാനലുകളുമായി പൊരുത്തപ്പെടണം.
കമ്മ്യൂണിക്കേഷൻ പ്രോട്ടോക്കോളുകൾ കൈകാര്യം ചെയ്യുന്ന ഫസറുകൾക്ക് പാക്കറ്റുകൾ കൈകാര്യം ചെയ്യേണ്ടതുണ്ട്. ഈ പ്ലാറ്റ്ഫോം ടാർഗെറ്റുചെയ്യുന്ന ഫസറുകൾക്ക് വ്യാജ പാക്കറ്റുകൾ സൃഷ്ടിക്കാൻ കഴിയും, അല്ലെങ്കിൽ തടസ്സപ്പെട്ട പാക്കറ്റുകൾ പരിഷ്ക്കരിക്കാനും അവ വീണ്ടും പ്ലേ ചെയ്യാനും പ്രോക്സികളായി പ്രവർത്തിക്കാനും കഴിയും.
2. ഫസ് ക്രിയേഷൻ രീതി
ഫസ്സറുകൾ എങ്ങനെ ഫസ് ചെയ്യാൻ ഡാറ്റ സൃഷ്ടിക്കുന്നു എന്നതിനെ അടിസ്ഥാനമാക്കിയും തരംതിരിക്കാം. ചരിത്രപരമായി, സ്ക്രാച്ചിൽ നിന്ന് റാൻഡം ഡാറ്റ സൃഷ്ടിച്ചുകൊണ്ട് ഫസ്സറുകൾ ഫസ് സൃഷ്ടിച്ചു. ഈ സാങ്കേതികവിദ്യയുടെ തുടക്കക്കാരനായ പ്രൊഫസർ ബാർട്ടൺ മില്ലർ തുടക്കത്തിൽ ഇത് ചെയ്തത് ഇങ്ങനെയായിരുന്നു. ഇത്തരത്തിലുള്ള ഫസറിനെ എ എന്ന് വിളിക്കുന്നു തലമുറ അടിസ്ഥാനമാക്കിയുള്ള ഫസർ.
എന്നിരുന്നാലും, ഒരു ട്രസ്റ്റ് അതിർത്തിയെ മറികടക്കുന്ന ഡാറ്റ സൈദ്ധാന്തികമായി സൃഷ്ടിക്കാൻ ഒരാൾക്ക് കഴിയുമെങ്കിലും, അത് ചെയ്യുന്നതിന് ഗണ്യമായ സമയവും വിഭവങ്ങളും എടുക്കും. അതിനാൽ ഈ രീതി സാധാരണയായി ലളിതമായ ഇൻപുട്ട് ഘടനകളുള്ള സിസ്റ്റങ്ങൾക്ക് ഉപയോഗിക്കുന്നു.
ഈ പ്രശ്നത്തിനുള്ള ഒരു പരിഹാരം, ഒരു ട്രസ്റ്റ് അതിർത്തി കടന്നുപോകാൻ മതിയായ സാധുതയുള്ള ഡാറ്റ സൃഷ്ടിക്കുന്നതിന് സാധുതയുള്ളതായി അറിയപ്പെടുന്ന ഡാറ്റയെ മ്യൂട്ടേറ്റ് ചെയ്യുക എന്നതാണ്, എന്നാൽ പ്രശ്നങ്ങളുണ്ടാക്കാൻ പര്യാപ്തമല്ല. ഇതിന് നല്ലൊരു ഉദാഹരണമാണ് എ ഡിഎൻഎസ് ഫസർ ഇത് ഒരു ഡൊമെയ്ൻ നാമം എടുക്കുകയും നിർദ്ദിഷ്ട ഡൊമെയ്നിന്റെ ഉടമയെ ടാർഗെറ്റുചെയ്യുന്ന ക്ഷുദ്രകരമായ ഡൊമെയ്നുകൾ കണ്ടെത്തുന്നതിന് ഡൊമെയ്ൻ നാമങ്ങളുടെ ഒരു വലിയ ലിസ്റ്റ് സൃഷ്ടിക്കുകയും ചെയ്യുന്നു.
ഈ സമീപനം മുമ്പത്തേതിനേക്കാൾ മികച്ചതും സാധ്യമായ ക്രമമാറ്റങ്ങളെ ഗണ്യമായി ചുരുക്കുന്നു. ഈ രീതി ഉപയോഗിക്കുന്ന ഫസ്സറുകൾ എന്ന് വിളിക്കുന്നു മ്യൂട്ടേഷൻ അടിസ്ഥാനമാക്കിയുള്ള ഫസ്സറുകൾ.
കേടുപാടുകൾ വേരോടെ പിഴുതെറിയാൻ ആവശ്യമായ ഒപ്റ്റിമൽ ഫസ് ഡാറ്റയിൽ ഒത്തുചേരാൻ ജനിതക അൽഗോരിതങ്ങൾ ഉപയോഗിക്കുന്ന മൂന്നാമത്തെ ഏറ്റവും പുതിയ രീതിയുണ്ട്. ഒരു പ്രോഗ്രാമിലേക്ക് ഫീഡ് ചെയ്യുമ്പോൾ ഓരോ ടെസ്റ്റ് ഡാറ്റയുടെയും പ്രകടനം കണക്കിലെടുത്ത് അതിന്റെ ഫസ് ഡാറ്റ തുടർച്ചയായി പരിഷ്കരിച്ചുകൊണ്ട് ഇത് പ്രവർത്തിക്കുന്നു.
ഏറ്റവും മോശം പ്രകടനമുള്ള ഡാറ്റാ സെറ്റ് ഡാറ്റ പൂളിൽ നിന്ന് നീക്കം ചെയ്യപ്പെടുന്നു, അതേസമയം മികച്ചത് പരിവർത്തനം ചെയ്യപ്പെടുകയും കൂടാതെ/അല്ലെങ്കിൽ സംയോജിപ്പിക്കുകയും ചെയ്യുന്നു. പുതിയ തലമുറ ഡാറ്റ വീണ്ടും ഫസ് ടെസ്റ്റിനായി ഉപയോഗിക്കുന്നു. ഈ ഫസറുകൾ എന്ന് വിളിക്കപ്പെടുന്നു പരിണാമ മ്യൂട്ടേഷൻ അടിസ്ഥാനമാക്കിയുള്ള ഫസറുകൾ.
3. ഇൻപുട്ട് ഘടനയെക്കുറിച്ചുള്ള അവബോധം
ഫസ് ഡാറ്റ സൃഷ്ടിക്കുന്നതിൽ ഒരു പ്രോഗ്രാമിന്റെ ഇൻപുട്ട് ഘടനയെക്കുറിച്ച് ഒരു ഫസ്സർ അറിയുകയും സജീവമായി ഉപയോഗിക്കുകയും ചെയ്യുന്നുണ്ടോ എന്നതിനെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് ഈ വർഗ്ഗീകരണം. എ ഊമ ഫസർ (ഒരു പ്രോഗ്രാമിന്റെ ഇൻപുട്ട് ഘടനയെക്കുറിച്ച് അറിയാത്ത ഒരു ഫസ്സർ) മിക്കവാറും ക്രമരഹിതമായ രീതിയിൽ ഫസ് സൃഷ്ടിക്കുന്നു. ഇതിൽ ജനറേഷനും മ്യൂട്ടേഷൻ അടിസ്ഥാനമാക്കിയുള്ള ഫസറുകളും ഉൾപ്പെടാം.
ഒരു പ്രോഗ്രാമിന്റെ ഇൻപുട്ട് മോഡലിനൊപ്പം ഒരു ഫസ്സർ നൽകിയാൽ, ഫസറിന് നൽകിയ ഇൻപുട്ട് മോഡലുമായി പൊരുത്തപ്പെടുന്ന തരത്തിൽ ഡാറ്റ ജനറേറ്റ് ചെയ്യാനോ മ്യൂട്ടേറ്റ് ചെയ്യാനോ ശ്രമിക്കാം. ഈ സമീപനം അസാധുവായ ഡാറ്റ സൃഷ്ടിക്കുന്നതിന് ചെലവഴിക്കുന്ന വിഭവങ്ങളുടെ അളവ് കുറയ്ക്കുന്നു. അത്തരമൊരു ഫസറിനെ എ എന്ന് വിളിക്കുന്നു സ്മാർട്ട് ഫസർ.
4. പ്രോഗ്രാം ഘടനയെക്കുറിച്ചുള്ള അവബോധം
ഫസ് ചെയ്യുന്ന പ്രോഗ്രാമിന്റെ ആന്തരിക പ്രവർത്തനങ്ങളെക്കുറിച്ച് അവർ ബോധവാന്മാരാണോ എന്നതിനെ അടിസ്ഥാനമാക്കി ഫസ്സറുകളെ തരംതിരിക്കാം, കൂടാതെ ഫസ് ഡാറ്റ സൃഷ്ടിക്കാൻ സഹായിക്കുന്നതിന് അവ അവബോധം ഉപയോഗിക്കുന്നു. ഒരു പ്രോഗ്രാമിന്റെ ആന്തരിക ഘടന മനസ്സിലാക്കാതെ ഫസറുകൾ പരീക്ഷിക്കുമ്പോൾ, അതിനെ ബ്ലാക്ക് ബോക്സ് ടെസ്റ്റിംഗ് എന്ന് വിളിക്കുന്നു.
ഫസ്സർ ഒരു പരിണാമപരമായ മ്യൂട്ടേഷൻ അധിഷ്ഠിത ഫസ്സർ അല്ലാത്ത പക്ഷം ബ്ലാക്ക്-ബോക്സ് പരിശോധനയ്ക്കിടെ ജനറേറ്റുചെയ്യുന്ന ഫസ് ഡാറ്റ സാധാരണയായി ക്രമരഹിതമാണ്, അവിടെ അതിന്റെ ഫസിംഗിന്റെ പ്രഭാവം നിരീക്ഷിച്ച് അത് ഉപയോഗിച്ച് അത് 'പഠിക്കുന്നു' വിവരം അതിന്റെ ഫസ് ഡാറ്റ സെറ്റ് പരിഷ്കരിക്കാൻ.
മറുവശത്ത് വൈറ്റ്-ബോക്സ് ടെസ്റ്റിംഗ് ഫസ് ഡാറ്റ സൃഷ്ടിക്കുന്നതിന് പ്രോഗ്രാമിന്റെ ആന്തരിക ഘടനയുടെ ഒരു മാതൃക ഉപയോഗിക്കുന്നു. ഈ സമീപനം ഒരു പ്രോഗ്രാമിലെ നിർണായക ലൊക്കേഷനുകളിൽ എത്തിച്ചേരാനും അത് പരിശോധിക്കാനും ഫസറിനെ അനുവദിക്കുന്നു.
ജനപ്രിയ ഫസ്സിംഗ് ടൂളുകൾ
ധാരാളം ആശയക്കുഴപ്പങ്ങളുണ്ട് ഉപകരണങ്ങൾ അവിടെ പേന പരീക്ഷിക്കുന്നവർ ഉപയോഗിക്കുന്നു. ഏറ്റവും ജനപ്രിയമായവയിൽ ചിലത്:
ഫസിംഗിന്റെ പരിമിതികൾ
ഫസ്സിംഗ് ശരിക്കും ഉപയോഗപ്രദമായ ഒരു പെൻ-ടെസ്റ്റിംഗ് ടെക്നിക് ആണെങ്കിലും, അത് അതിന്റെ പിഴവുകളില്ല. അവയിൽ ചിലത്:
- ഓടാൻ ഒരുപാട് സമയമെടുക്കും.
- ഒരു പ്രോഗ്രാമിന്റെ ബ്ലാക്ക് ബോക്സ് പരിശോധനയ്ക്കിടെ കണ്ടെത്തിയ ക്രാഷുകളും മറ്റ് അപ്രതീക്ഷിത സ്വഭാവങ്ങളും വിശകലനം ചെയ്യാനോ ഡീബഗ് ചെയ്യാനോ അസാധ്യമല്ലെങ്കിൽ ബുദ്ധിമുട്ടാണ്.
- സ്മാർട്ട് മ്യൂട്ടേഷൻ അടിസ്ഥാനമാക്കിയുള്ള ഫസറുകൾക്കായി മ്യൂട്ടേഷൻ ടെംപ്ലേറ്റുകൾ സൃഷ്ടിക്കുന്നത് സമയമെടുക്കും. ഇൻപുട്ട് മോഡൽ ഉടമസ്ഥതയിലുള്ളതോ അജ്ഞാതമായതോ ആയതിനാൽ ചിലപ്പോൾ അത് സാധ്യമായേക്കില്ല.
എന്നിരുന്നാലും, മോശം ആളുകൾക്ക് മുമ്പ് ബഗുകൾ കണ്ടെത്താൻ ആഗ്രഹിക്കുന്ന ആർക്കും ഇത് വളരെ ഉപയോഗപ്രദവും ആവശ്യമുള്ളതുമായ ഉപകരണമാണ്.
തീരുമാനം
സോഫ്റ്റ്വെയറിലെ കേടുപാടുകൾ കണ്ടെത്തുന്നതിന് ഉപയോഗിക്കാവുന്ന ശക്തമായ പേന-ടെസ്റ്റിംഗ് സാങ്കേതികതയാണ് ഫസ്സിംഗ്. പല തരത്തിലുള്ള ഫസറുകൾ ഉണ്ട്, എല്ലാ സമയത്തും പുതിയ ഫസറുകൾ വികസിപ്പിച്ചുകൊണ്ടിരിക്കുന്നു. ഫസ്സിംഗ് അവിശ്വസനീയമാംവിധം ഉപയോഗപ്രദമായ ഒരു ഉപകരണമാണെങ്കിലും, അതിന് അതിന്റെ പരിമിതികളുണ്ട്. ഉദാഹരണത്തിന്, ഫസറുകൾക്ക് വളരെയധികം കേടുപാടുകൾ മാത്രമേ കണ്ടെത്താൻ കഴിയൂ, അവ വളരെ വിഭവശേഷിയുള്ളതും ആയിരിക്കും. എന്നിരുന്നാലും, നിങ്ങൾക്കായി ഈ അത്ഭുതകരമായ സാങ്കേതികത പരീക്ഷിക്കാൻ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, ഞങ്ങൾക്കുണ്ട് ഞങ്ങളുടെ പ്ലാറ്റ്ഫോമിൽ നിങ്ങൾക്ക് ഉപയോഗിക്കാനാകുന്ന സൗജന്യ DNS Fuzer API.
അപ്പോൾ എന്തിനാണ് നിങ്ങൾ കാത്തിരിക്കുന്നു?
