隨著5G、智能網(wǎng)聯(lián)、IOT等行業(yè)的興起與普及，計算機軟件蓬勃發(fā)展，軟件工具變得越來越復雜和成熟，黑客攻擊也變得越來越頻繁。

某安全研究機構(gòu)在2021年公布了20175個新漏洞，創(chuàng)下年度新增漏洞數(shù)量新高。資料顯示，在漏洞發(fā)布的12個月內(nèi)，被利用的新漏洞增加了24%，這意味著修復已知漏洞的窗口越來越小。企業(yè)如何才能更安全、有效地預防網(wǎng)絡攻擊?答案是：主動地檢測往往比被動的防御要更加及時有效，使用模糊測試作為安全質(zhì)量檢查工具，成為軟件工具發(fā)展的重中之重。

模糊測試是一種通過向被測目標提供非預期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)異常和漏洞的方法。在測試中，通過工具自動化生成的攻擊數(shù)據(jù)對測試對象進行攻擊，從而發(fā)現(xiàn)潛在的安全缺陷與漏洞。

模糊測試的對象種類繁多，包括但不限于Web應用程序、通信協(xié)議、數(shù)據(jù)庫等。在互聯(lián)網(wǎng)飛速發(fā)展的今天，伴隨網(wǎng)絡協(xié)議的安全性測試成為一個重要的問題，協(xié)議模糊測試成為應用最為廣泛的模糊測試技術。

網(wǎng)絡環(huán)境的復雜性，使得當前協(xié)議模糊測試技術實現(xiàn)漏洞挖掘困難重重。包括：為了滿足不同場景下的應用需求，軟件工具被設計了各種各樣的網(wǎng)絡通信息協(xié)議;協(xié)議模糊測試工具需要與被測目標建立通信連接，可能會帶來額外的成本;協(xié)議模糊測試的被測目標通常具有很大的狀態(tài)空間，很難探索深層次的漏洞。

基于此背景，固源科技的協(xié)議模糊漏洞挖掘產(chǎn)品解決方案應運而生。該方案利用固源科技自主研發(fā)的覆蓋多種不同協(xié)議模塊和API接口的自動化智能黑盒模糊測試平臺，可以有效地發(fā)現(xiàn)和糾正軟件生命周期中潛在的安全漏洞與缺陷。

固源-領跑技術創(chuàng)新

固源科技協(xié)議模糊漏洞挖掘產(chǎn)品解決方案為客戶提供規(guī)模化、自動化的模糊測試漏洞挖掘能力。在黑客攻擊之前，揭露潛在安全漏洞。其優(yōu)勢包括：

一是自帶多種模糊測試策略和變異算法，支持對不同行業(yè)私有協(xié)議的狀態(tài)及流程進行深度定制，可以在誤報率極低的情況下，發(fā)現(xiàn)潛在的未知漏洞和缺陷。

二是用戶可以根據(jù)平臺已有的協(xié)議模版或規(guī)則進行新增和深度定制，滿足一切深度模糊測試的可行性需求。

三是無線模糊領域絕對領先地位，是目前唯一支持WiFi-5G、WiFi-6;USB、Type-C的模糊測試工具。已適配多個不同廠家的無線驅(qū)動，實現(xiàn)STA&WPA狀態(tài)機下的高效漏洞挖掘機制的模糊測試平臺。

四是包含基于協(xié)議定義與漏洞挖掘用例生成模糊攻擊向量的模糊測試工具，能夠同時發(fā)現(xiàn)協(xié)議相關的已知漏洞(CVE)，未知漏洞和未知漏洞類型(CWE)。

固源-吃透協(xié)議規(guī)劃

固源科技協(xié)議模糊漏洞挖掘產(chǎn)品解決方案通過覆蓋不同行業(yè)的協(xié)議集，滿足不同行業(yè)的漏洞挖掘需求。除下述列舉的協(xié)議規(guī)劃外，還包括諸如5G、NB-IOT、V2X等不同行業(yè)的模糊測試模塊。

應用程序模糊：針對金融系統(tǒng)、支付系統(tǒng)以及web應用程序，例如url表單，用戶生成的內(nèi)容，RPC請求等。主要針對金融、證券等支付接口以及web應用程序

汽車領域模糊：包括AMQP、Audio-、MP3、MP4、XMPP、MQTT、WIFI.藍牙、BLE、CAN總線，4G-LTE、DSRC車聯(lián)網(wǎng)等等。針對汽車內(nèi)部通信協(xié)議以及無線通信與核心動力控制協(xié)議的漏洞挖掘套件。

物聯(lián)網(wǎng)領域模糊：包括WIFI、Bluetooth、MQTT、UPNP、TCP/IP、4G-LTE等協(xié)議適用于物聯(lián)網(wǎng)設備制造商;路由器、手機、機頂盒、智能穿戴設備、物聯(lián)網(wǎng)醫(yī)療設備等等漏洞挖掘套件。

金融領域模糊：包括FTP、HTTP、IPSec、IPV4、IPV6、PPPOE、SNMP、SSH、TLS、SSL、SMP等。針對銀行、財務、金融通用架構(gòu)的通信傳輸漏洞挖掘套件。

工控領域模糊：包括Modbus PLC、Modbus Master、DNP3 Server、COAP等等。針對工控協(xié)議漏洞挖掘套件，適用于電力、水利、石油工業(yè)等等。

通過固源科技協(xié)議模糊漏洞挖掘產(chǎn)品解決方案，你將更全面地考慮到程序的安全性和健壯性，避免陷入漏洞攻擊和整改的泥潭。從安全質(zhì)量檢查的角度來看，它提供了一種有效的方法來提前發(fā)現(xiàn)潛在缺陷;對于攻擊者(安全研究人員)，它提供了一種快速有效的攻擊方法，并能夠自動化的進行漏洞挖掘，有效進行滲透和漏洞利用。

Gartner 2021年已正式將模糊漏洞挖掘作為未來的軟件安全測試的重要發(fā)展方向進行關注。目前，國內(nèi)在漏洞挖掘方向仍屬于初步階段，固源科技已在協(xié)議模糊漏洞挖掘方向?qū)崿F(xiàn)了成熟的產(chǎn)品化。值得一提的是，固源科技還是最早涉及智能網(wǎng)聯(lián)汽車模糊測試的廠商，也是國內(nèi)目前唯一一家對智能網(wǎng)聯(lián)汽車全協(xié)議覆蓋的廠商。

2022年，在第七屆“i創(chuàng)杯”創(chuàng)意大賽的角逐中，固源科技“全開發(fā)流程自動化安全模糊漏洞解決方案”榮獲成長組優(yōu)勝獎，成為國內(nèi)唯一一家能與國際主流商業(yè)模糊工具進行PoC對比，且完美勝出的模糊測試廠家。截至目前，固源科技已為國內(nèi)超過50家大型客戶成功實施模糊漏洞挖掘項目，并獲得了國內(nèi)市場智能網(wǎng)絡汽車、物聯(lián)網(wǎng)、科研院所、軍工等行業(yè)客戶的高度認可。

北京固源網(wǎng)絡科技有限公司(簡稱“固源科技”)成立于2015年，團隊從2019年開始研究模糊漏洞挖掘核心算法，核心成員由國內(nèi)頂尖網(wǎng)絡攻防安全專家(現(xiàn)國內(nèi)網(wǎng)絡尖刀成員)，以色列Beyond Security，Checkmarx中國區(qū)骨干成員組成。固源科技自主研發(fā)的一系列軟件安全漏洞挖掘安全產(chǎn)品，可以廣泛應用于各行各業(yè)的軟硬件環(huán)境中，為客戶實現(xiàn)安全前置，提前發(fā)現(xiàn)潛在安全漏洞。