Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Goで学ぶ Fuzzing

Avatar for TOC TOC
September 07, 2022
Programming
0
300

Goで学ぶ Fuzzing

Let's Go Talk #3 で LT 登壇した際の資料
https://connehito.connpass.com/event/257000/

Avatar for TOC

TOC

September 07, 2022
Tweet

More Decks by TOC

See All by TOC
仮説→実験→検証→学び... プロダクト開発を前に進めるためにMobius Outcome Deliveryを学び 実践していること
Avatar for TOC toc0522
3
3.4k
ファシリテーションLT ~良いファシリテーションをするために~
Avatar for TOC toc0522
0
450
もっと快適に! デプロイフロー改善への道!
Avatar for TOC toc0522
0
840
Go で Golden File Test
Avatar for TOC toc0522
1
1.1k

Other Decks in Programming

See All in Programming
詳解!defer panic recover のしくみ / Understanding defer, panic, and recover
Avatar for convto convto
0
240
MCPとデザインシステムに立脚したデザインと実装の融合
Avatar for Yuku Kotani yukukotani
4
1.4k
モバイルアプリからWebへの横展開を加速した話_Claude_Code_実践術.pdf
Avatar for Kazuya Sakamoto kazuyasakamoto
0
330
複雑なフォームに立ち向かう Next.js の技術選定
Avatar for Takashi Machinaga macchiitaka
2
120
JSONataを使ってみよう Step Functionsが楽しくなる実践テクニック #devio2025
Avatar for dafujii dafujii
1
530
print("Hello, World")
Avatar for 高見龍 eddie
2
530
Cache Me If You Can
Avatar for RyuNen344 ryunen344
2
740
Updates on MLS on Ruby (and maybe more)
Avatar for sylph01 sylph01
1
180
Android 16 × Jetpack Composeで縦書きテキストエディタを作ろう / Vertical Text Editor with Compose on Android 16
Avatar for cc4966 cc4966
1
230
AIと私たちの学習の変化を考える - Claude Codeの学習モードを例に
Avatar for azukiazusa azukiazusa1
10
4.1k
Kiroで始めるAI-DLC
Avatar for kaonash kaonash
2
590
Namespace and Its Future
Avatar for Satoshi Tagomori tagomoris
6
700

Featured

See All Featured
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
303
21k
Side Projects
Avatar for Sacha Greif sachag
455
43k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
7
840
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
29
2.9k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
231
18k
It's Worth the Effort
Avatar for 3n 3n
187
28k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
36
2.5k
The Language of Interfaces
Avatar for Des Traynor destraynor
161
25k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
431
66k
Fireside Chat
Avatar for paigeccino paigeccino
39
3.6k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
236
140k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
53
8.9k

Transcript

  1. 2022/09/07 Let’s Go Talk #3 TOC Goで学ぶ Fuzzing

  2. - TOC - コネヒト株式会社 - バックエンドエンジニア - 主にPHP - Go

    は趣味で勉強中 自己紹介

  3. - 入力されうるテストケースを大量に入力し、挙動を確認するテスト手法 - 意図しないデータが入力されたときに、挙動を調べることで不具合・脆弱 性の確認を行う - 想定外のデータを`ファズ`というらしい - テストをする立場だと、自分に都合のいいテストデータを選びがちである が、バイアスのかからないテストデータを利用できる

    Fuzzingってなに?

  4. - 元々 go-fuzz というツールがあったが、Go 1.18 から標準で機能として追 加された - go-fuzz は今まで334個のバグを見つけている(すごい!)

    - 既存のツールよりも簡単に、ユニットテストと同じように書けることを目指し た - ref. Design Draft: First Class Fuzzing Go 1.18 で追加されたFuzzing

  5. 実際のコード例 - seed corpus と呼ばれる 「種になるデータ」を入れる。未 指定もできるがパターンがわ かっているなら指定した方が信 頼できそう。 -

    テスト部分はユニットテストと 同様にはできない場合がある (=入力を予測できない)。元 に戻せるテストだったり、エ ラーが起きたかどうかで確認 する。

  6. ユニットテストと比較

  7. go-fuzz を使うと - func Fuzz(data []byte) int でテストデータ生成したり - `$

    go-fuzz-build` したり - `$ go-fuzz` したり と特有の処理、コマンドがあるっぽい

  8. 実際に実行すると - IDE だと GUI 上で -fuzz フ ラグをつけられて便利 -

    execs: 入力数。大量に実行 されていることがわかる - interesting: コードカバレッ ジが変化するような入力値。数 の増加は時間と共に鈍化。 実行

  9. 実際に実行すると - 失敗したテストケースは別 ファイルと記録される - 次回テストするときのテスト データとして用いられる - これも個別実行できるので デバッグに便利!

  10. - Go 標準の Fuzzing は既存のユニットテストっぽく書けるので学習コスト が小さそう - 自身のバイアスに囚われない、信頼できるテストケースを見つけられそう - Design

    Draft: First Class Fuzzing で思想を知るのは面白いので、他 のも見てみたい まとめ

  11. - Design Draft: First Class Fuzzing - Go1.18から追加されたFuzzingとは - フューチャー技術ブログ

    - Go Fuzzingによるファジングテスト/ランダムテスト - 絶対に落とせない!友人の結婚式の余興用アプリケーションをエラーゼロ で突破した - M3 Tech Blog 参考