第一次ActiveX Fuzzing测试

接着上一篇的看雪Exploit me试题。

这道题给出了一个ActiveX的DLL,挖掘这个DLL中的漏洞。

由于从来没有接触过ActiveX的Fuzzing,所以找了一些文章来看。自己动手试验了一下。

根据提示,使用了Comraider来作为Fuzzing工具。这个工具比较老了,找了好久才找到下载地址

http://down.51cto.com/data/1100082

根据出题者的意图,应该是先对这个控件进行Fuzzing,然后根据结果进行分析得出漏洞。最后要这个漏洞写出poc,使用堆喷来完成。

实验环境是ie6+xp sp3

时间: 2024-10-02 10:35:31

第一次ActiveX Fuzzing测试的相关文章

使用Afl-fuzz (American Fuzzy Lop) 进行fuzzing测试(待续)

作者:Jochen1986 转载请注明出处:http://blog.csdn.net/youkawa/article/details/45696317 1. 具有导向性的模糊测试 Fuzzing技术被证明是当前鉴别软件安全问题方面最强大测试技术.当前大多数远程代码执行和特权提升等比较严重的漏洞都是使用Fuzzing技术挖掘的.然而Fuzzing技术仍然存在着覆盖率低的缺陷.而许多的代码漏洞需要更大的路径覆盖率才能触发,而不是通过纯粹的随机尝试. 为了解决这一问题,已经提出了不少通过提供被测试代码

第一次java程序测试感受

第一次JAVA程序设计测试,检验了一个暑假的成果.显而易见,我做的并不是很好,程序最起码的输入输出以及方法的定义还是没有问题的,但是考到了文件输入输出便看出来了.对于文件的输入输出,虽然我预习到那里,并看了一些案例,但在真正的测试的时候脑子一片空白,最终关于文件的操作都没有按规定完成.测试题目要求的两个TXT文件,我用的Scanner方法,文件的途径虽然正确,但是程序找不到文件.所以这是由于我预习不够认真,不够仔细造成的.文件的操作函数有很多,例如READER/WRITER/PRINTWRITE

第一次发文章..测试..嘿嘿…

测试-.^^

第一次随堂测试

using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Threading.Tasks; namespace ConsoleApplication4{ class Program { static void Main(string[] args) { string str = " The major reason for the good performance

(转) fuzzing XSS filter

//转自isno在wooyun知识库所写 题记:这是09年自己写的总结文章,之后多年也不搞这个了,技术显然是过时了,但我觉得思路还是有用的,算抛砖引玉吧,各位见笑 0x00 前言 这是一篇学习总结,首先对几位未曾谋面也不知道名字的老师表示感谢,通过对你们大作的学习,使我逐渐入门开始跨入XSSer的行列,虽然我现在的水平和大师们比起来还差得太远,脚本方面的基础也不不行,但我会继续努力学习. 0x01 概述 曾经有一度,在N年前,我对网络安全对抗的总结就是“过滤与反过滤”,虽然现在看起来这种理解太狭

VSTS负载测试——如何:使用 SQL 创建结果存储区

原文地址:http://www.cnblogs.com/chenxizhang/archive/2009/06/01/1493939.html 原文参见:http://msdn.microsoft.com/zh-cn/library/ms182600(VS.80).aspx 负载测试的结果存储在一个 SQL 数据库中.这个 SQL 数据库就称为“负载测试结果存储区”.这个数据库既可以是本地的(通常使用 SQL Express),也可以是远程的(使用任何 SQL 版本).创建数据库架构之后,您就可

机械革命X5(MECHREVO MR-X5)开包测试

不废话,直接进入正题,关于X5的详细资料不多,为了给后来的选择者一个了解的机会,把详细数据都公布一下: 先来看下包装: 1.快递包装,这个可能根据卖家不同,包装有所区别 2.产品包装: 3.打开后里面是两个盒子,一个是电脑,一个是配件 配件有说明书. 保修.电池.电源,不带鼠标.电脑包和其他配件:这个会根据卖家不同也会不同. 4.下面单独看下电脑:(光纤较暗,图片效果打折了) 下面是两个USB3.0接口音频输入输出接口HDMI接口和一个USB2.0接口 下图是一个USB2.0接口,光驱位,VGA

Jmeter+8583报文压力测试

Jmeter一般被用来测试HTTP协议,我第一次拿来测试socket协议,pos机传输报文为8583,协议属于socket,也是TCP协议的一种,网上有LR怎么测试8583报文,我就研究了一下怎么用Jmeter来测试,以下是我的研究结果,供大家参考 1.先打开\apache-jmeter-3.1\bin\jmeter.propertles文件,修改jmeter.propertles中的"TCP Sampler configuration"内容,见附图,添加"tcp.handl

关于测试的一些"误解"

1)Testing & QA(Quality Assurance) 在我刚开始接触测试的时候,就一直没有分清楚Testing和QA的区别,一直认为QA的工作包括了测试的内容.直到有次去download一个测试工具的试用版,忽然发现填写个人信息的职务选择中就有Testing Manager,也有QA Manager,心里已经感觉这两者不能混为一谈. 它们到底有什么不同呢? 首先让我们来了解什么是QA,软件质量保证负责在软件开发全过程中,监控,保证和改善实施的过程,确保所有经过协商同意的约定和流程被