$30 off During Our Annual Pro Sale. View Details »

Goで学ぶ Fuzzing

TOC
September 07, 2022
Programming
0
45

Goで学ぶ Fuzzing

Let's Go Talk #3 で LT 登壇した際の資料
https://connehito.connpass.com/event/257000/

TOC

September 07, 2022
Tweet

More Decks by TOC

See All by TOC
Go で Golden File Test
toc0522
0
5

Other Decks in Programming

See All in Programming
JavaScript Testing Framework: Under the Hood(JSConfJP2022)
yoshiaki_togami
0
2.4k
Composing an API with Kotlin vol 2 (Advanced Kotlin Dev Day 2022)
zsmb
1
220
RubyWorld Conference 2022 に初めて現地参加してみて
shiorin
0
170
蔵書管理アプリを作り直した
tinymouse
1
200
Micro Frontends with Module Federation: Beyond the Basics
manfredsteyer
PRO
0
330
Node.jsの2022年と未来 / Node.js in 2022 and Future
masashi
1
660
ビルドツールViteを10分で解説!
akitotsukahara
0
130
Step Functionsの設計時に知っておいたほうがいいかもしれないこと
pirosikick
0
150
RailsGirlsGatheringJapan2022
maimux2x
0
110
ネットスーパーにおける商品在庫データのアプリケーション構築事例
10xinc
7
2.6k
Symfony & Hotwire: an efficient combo to quickly develop complex applications
florentdestremau
0
120
Import Maps: The Next Evolution Step for Micro Frontends? @w-jax 2022
manfredsteyer
PRO
1
210

Featured

See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
12
1.1k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
28
20k
Fantastic passwords and where to find them - at NoRuKo
philnash
31
1.8k
Product Roadmaps are Hard
iamctodd
35
7.5k
5 minutes of I Can Smell Your CMS
philhawksworth
197
18k
JazzCon 2018 Closing Keynote - Leadership for the Reluctant Leader
reverentgeek
175
8.9k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
21
1.6k
Typedesign – Prime Four
hannesfritz
34
1.5k
Designing for humans not robots
tammielis
244
24k
Rebuilding a faster, lazier Slack
samanthasiow
65
7.5k
Embracing the Ebb and Flow
colly
74
3.5k
Web development in the modern age
philhawksworth
197
9.5k

Transcript

  1. 2022/09/07 Let’s Go Talk #3 TOC Goで学ぶ Fuzzing

  2. - TOC - コネヒト株式会社 - バックエンドエンジニア - 主にPHP - Go

    は趣味で勉強中 自己紹介

  3. - 入力されうるテストケースを大量に入力し、挙動を確認するテスト手法 - 意図しないデータが入力されたときに、挙動を調べることで不具合・脆弱 性の確認を行う - 想定外のデータを`ファズ`というらしい - テストをする立場だと、自分に都合のいいテストデータを選びがちである が、バイアスのかからないテストデータを利用できる

    Fuzzingってなに?

  4. - 元々 go-fuzz というツールがあったが、Go 1.18 から標準で機能として追 加された - go-fuzz は今まで334個のバグを見つけている(すごい!)

    - 既存のツールよりも簡単に、ユニットテストと同じように書けることを目指し た - ref. Design Draft: First Class Fuzzing Go 1.18 で追加されたFuzzing

  5. 実際のコード例 - seed corpus と呼ばれる 「種になるデータ」を入れる。未 指定もできるがパターンがわ かっているなら指定した方が信 頼できそう。 -

    テスト部分はユニットテストと 同様にはできない場合がある (=入力を予測できない)。元 に戻せるテストだったり、エ ラーが起きたかどうかで確認 する。

  6. ユニットテストと比較

  7. go-fuzz を使うと - func Fuzz(data []byte) int でテストデータ生成したり - `$

    go-fuzz-build` したり - `$ go-fuzz` したり と特有の処理、コマンドがあるっぽい

  8. 実際に実行すると - IDE だと GUI 上で -fuzz フ ラグをつけられて便利 -

    execs: 入力数。大量に実行 されていることがわかる - interesting: コードカバレッ ジが変化するような入力値。数 の増加は時間と共に鈍化。 実行

  9. 実際に実行すると - 失敗したテストケースは別 ファイルと記録される - 次回テストするときのテスト データとして用いられる - これも個別実行できるので デバッグに便利!

  10. - Go 標準の Fuzzing は既存のユニットテストっぽく書けるので学習コスト が小さそう - 自身のバイアスに囚われない、信頼できるテストケースを見つけられそう - Design

    Draft: First Class Fuzzing で思想を知るのは面白いので、他 のも見てみたい まとめ

  11. - Design Draft: First Class Fuzzing - Go1.18から追加されたFuzzingとは - フューチャー技術ブログ

    - Go Fuzzingによるファジングテスト/ランダムテスト - 絶対に落とせない!友人の結婚式の余興用アプリケーションをエラーゼロ で突破した - M3 Tech Blog 参考