Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Goで学ぶ Fuzzing

Avatar for TOC TOC
September 07, 2022
Programming
0
290

Goで学ぶ Fuzzing

Let's Go Talk #3 で LT 登壇した際の資料
https://connehito.connpass.com/event/257000/

Avatar for TOC

TOC

September 07, 2022
Tweet

More Decks by TOC

See All by TOC
仮説→実験→検証→学び... プロダクト開発を前に進めるためにMobius Outcome Deliveryを学び 実践していること
Avatar for TOC toc0522
3
3.4k
ファシリテーションLT ~良いファシリテーションをするために~
Avatar for TOC toc0522
0
440
もっと快適に! デプロイフロー改善への道!
Avatar for TOC toc0522
0
830
Go で Golden File Test
Avatar for TOC toc0522
1
1.1k

Other Decks in Programming

See All in Programming
iOS開発スターターキットの作り方
Avatar for akidon0000 akidon0000
0
240
実践!App Intents対応
Avatar for 野瀬田 裕樹 yuukiw00w
1
270
ライブ配信サービスの インフラのジレンマ -マルチクラウドに至ったワケ-
Avatar for Mirrativ mirrativ
1
210
大規模FlutterプロジェクトのCI実行時間を約8割削減した話
Avatar for teamLab teamlab
PRO
0
470
画像コンペでのベースラインモデルの育て方
Avatar for tattaka tattaka
3
1.7k
令和最新版手のひらコンピュータ
Avatar for KOBA789 koba789
13
7.7k
あのころの iPod を どうにか再生させたい
Avatar for orumin orumin
2
2.4k
AIのメモリー
Avatar for watany watany
13
1.4k
Google I/O Extended Incheon 2025 ~ What's new in Android development tools
Avatar for pluulove (노현석) pluu
1
270
QA x AIエコシステム段階構築作戦
Avatar for Osu osu
0
270
WebAssemblyインタプリタを書く ~Component Modelを添えて~
Avatar for ruccho ruccho
1
820
[DevinMeetupTokyo2025] コード書かせないDevinの使い方
Avatar for yoshi takumiyoshikawa
2
280

Featured

See All Featured
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
44
2.4k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
231
18k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
179
9.9k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
251
21k
Designing for Performance
Avatar for Lara Hogan lara
610
69k
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
301
51k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
273
40k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
110
20k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
30
9.6k
Docker and Python
Avatar for Tania Allard trallard
45
3.5k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
31
2.2k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
367
19k

Transcript

  1. 2022/09/07 Let’s Go Talk #3 TOC Goで学ぶ Fuzzing

  2. - TOC - コネヒト株式会社 - バックエンドエンジニア - 主にPHP - Go

    は趣味で勉強中 自己紹介

  3. - 入力されうるテストケースを大量に入力し、挙動を確認するテスト手法 - 意図しないデータが入力されたときに、挙動を調べることで不具合・脆弱 性の確認を行う - 想定外のデータを`ファズ`というらしい - テストをする立場だと、自分に都合のいいテストデータを選びがちである が、バイアスのかからないテストデータを利用できる

    Fuzzingってなに?

  4. - 元々 go-fuzz というツールがあったが、Go 1.18 から標準で機能として追 加された - go-fuzz は今まで334個のバグを見つけている(すごい!)

    - 既存のツールよりも簡単に、ユニットテストと同じように書けることを目指し た - ref. Design Draft: First Class Fuzzing Go 1.18 で追加されたFuzzing

  5. 実際のコード例 - seed corpus と呼ばれる 「種になるデータ」を入れる。未 指定もできるがパターンがわ かっているなら指定した方が信 頼できそう。 -

    テスト部分はユニットテストと 同様にはできない場合がある (=入力を予測できない)。元 に戻せるテストだったり、エ ラーが起きたかどうかで確認 する。

  6. ユニットテストと比較

  7. go-fuzz を使うと - func Fuzz(data []byte) int でテストデータ生成したり - `$

    go-fuzz-build` したり - `$ go-fuzz` したり と特有の処理、コマンドがあるっぽい

  8. 実際に実行すると - IDE だと GUI 上で -fuzz フ ラグをつけられて便利 -

    execs: 入力数。大量に実行 されていることがわかる - interesting: コードカバレッ ジが変化するような入力値。数 の増加は時間と共に鈍化。 実行

  9. 実際に実行すると - 失敗したテストケースは別 ファイルと記録される - 次回テストするときのテスト データとして用いられる - これも個別実行できるので デバッグに便利!

  10. - Go 標準の Fuzzing は既存のユニットテストっぽく書けるので学習コスト が小さそう - 自身のバイアスに囚われない、信頼できるテストケースを見つけられそう - Design

    Draft: First Class Fuzzing で思想を知るのは面白いので、他 のも見てみたい まとめ

  11. - Design Draft: First Class Fuzzing - Go1.18から追加されたFuzzingとは - フューチャー技術ブログ

    - Go Fuzzingによるファジングテスト/ランダムテスト - 絶対に落とせない!友人の結婚式の余興用アプリケーションをエラーゼロ で突破した - M3 Tech Blog 参考