BED-Fuzzer یکی از نرم افزارهای قوی تو زمینه فازینگ هست که زبان قشنگ و راحت و دل نشین Perl نوشته شده است . بدون رابط گرافیکی و در Command Line باید از آن بهره گرفت . این fuzzer هم مخفف Detector Exploit Bruteforce هست و با ارسال دستورات به Deamon و گرفتن اطلاعات از آن می تونه آسیب پذیری رو کشف کنه . دامنه پشتیبانی آسیب پذیری های این Fuzzer هم بد نیست . یعنی .... راستیتش در تخصص من نیست نمی تونم نظر بدم . ;)
این Fuzzer توسط MJM و Snskebyte نوشته شده که در ادامه مطلب سایت و بلاگ هر دو قرار داده شده است که برای دانلود برنامه نیز می توانید از همین دو لینک که در ادامه مطلب آمده استفاده کنید . در ضمن این Fuzzer در packet Storm Security نیز قابل دسترسی هست . اگه به زبان English آشنائی دارید آموزش شیوای به همین زبان در منابع گفته شده هست در غیر این صورت تا آخر هفته آموزش فارسی رو می تونید از همین بلاگ در یافت کنید !
What is Fuzzer ?!!!
در این پست می خواهیم بررسی کنیم که Fuzzer چی هست و در ادامه یعنی پستهای بعد معرفی چند Fuzzer همراه با خود برنامه و آموزش استفاده از اون برای شما , که مطلب رو در کنید و علاقمند بشید ! چون خوندن خود مقاله هیچ ذوقی رو برای یاد گیری در خواننده ایجاد نمی کنه !
FUZZ در لغت به معنی گیج شدن یا کسی که به وسیله ماده مخدر کراک بنگی شده است و FUZZER به معنی گیج کننده هست ! شاید دوستانی که با این مبحث هک آشنائی دارند به تعریفی که من می خوام از fuzzer انجام بدم خرده بگیرند ولی به نظر خودم این بهترین تعریف هست .
FUZZER به نرم افزارهائی گفته می شود که به ما کمک می کنند تا بر روی نرم افزار تست های رو انجام بدیم که در آخر اگر FUZZER مورد استفاده شده از قدرت کافی برخوردار باشد به نتیجه کشف آسیب پذیری در نرم افزار هدف خواهد بود .
یک سری از FUZZER ها هم تحت وب هستند یعنی می توان WEB APPS را با آنها چک کرد . نمونه ای از این FUZZER ها می توان RFI Scaner ها را بیان کرد به زبان های Perl و Phyton نوشته می شوند .
اساس کار FUZZER ها :
طرز کار FUZZERها به این صورت است که یک سری اطلاعات را به صورت داده به سمت هدف ارسال می کنند و برای هر داده ای ارسالی منتظر یک جواب خاص هستند . ارسال داده در نرم افزار ها اکثرا به API ها هست که برای اطلاعات بیشتر می تونید به آرشیو همین بلاگ مراجعه فرمائید . خوب شما فرض کنید یک سوال از یک فرد می پرسید و منتظر یک جواب متناسب با سوال خود هستید یعنی وقتی اسم طرف رو می پرسید منتظر نیستید که سن خود رو به شما بگه . در اینجا هم همین طور وقتی جواب دریافتی از سیستم برابر با داده ارسالی نیست ما متوجه می شویم که یک مشکلی وجود دارد که در دنیای هکرها به آن O0opssss می گیم . که این طور وقتا خیلی خوش به حالمون می شه .
تا اینجا رو داشته باشید / . در ادامه 1 دونه فازر با Perl برای تست آسیب پذیری های LFI و RFI می نویسیم و چندتا از محبوبترین FUZZER ها رو که الان داره استفاده می شه رو برای شما با آموزش روی بلاگ قرار می دم .
موفق و شاد باشید /...