EvoGFuzz

更多类似内容

Урок актуализации знаний и умений "Невская битва и Ледовое побоище"

由Александра Вигуль

Раціональні вирази

由Аліна Рибак

Объёмный подход

由Юлия Беспалова

Ment

由Долгорукова Анастасия

Формируется новая вероятностная грамматика по выжившим

Для каждого нового поколения выбирается случайный нетерминал в грамматике и вероятности перехода из него меняются на случайные

Среди не вошедших в топ 5% случайным образом формируется 10 групп по 10 тестов и победители остаются для дальнейшей работы

Остаётся примерно 5% тестов, с максимальной функцией качества

В evogfuzz функция выглядит следующим образом: f(x) = бесконечность, если тест упал с ошибкой f(x) = expansions(x) ^ 2 / length(x), expansions(x) - количество расширений(нетерминальных символов) length(x) - длина теста в символах Используя эту функцию более сложные тесты получают лучший скор, а длина штрафуется. Плюсы: просто вычисляется, учитывает цели, которые мы хотим получить при эволюции. Минусы: Тесты могут получаться длинными в терминах грамматики.

В evogfuzz отдаётся предпочтение сложным тестам не целенаправленно при генерации, а исходя из "оставшихся" тестов. По Дарвину "выживают самые приспособленные".

В evogfuz во время генерации котролируется размер, но отдельный упор на создание коротких не делается

В EvoGFuzz идея строить тесты по грамматике с вероятностями является ключевой. Удалось спроектировать фаззер так, что почти весь код является реализацией генерации теста. Мутации опираются на вероятности в грамматике. Плюс: реализовав эту идею можно считать фаззер почти законченным.

Перебираем все короткие поддеревья нетерминала и пытаемся заменить текущее

Если в дереве грамматики есть вершина S с подвершиной S, то заменяем S на дочернюю вершину S

Обработка успешных

Исходя из контекста выбранной метрики. Например, если метрика - покрытие функций - и тест запустил новую функцию - то его оставляем.

Как понять нужен ли этот тест?

Провести "турнир" в случайном подмножестве и взять нескольких победителей.

Выбрать несколько случайным образом

Оставить какой-то процент тех, у кого максимальна функция качества

Как выбрать наиболее успешные?

Если в вершине потенциально много поддеревьев, будем ходить туда чаще. Плюсы: позволит наиболее полно покрыть грамматику. Минусы: требуется предпосчёт количества деревьев для каждого нетерминала.

Чем чаще встречается переход в тестах, тем чаще мы его будем использовать. Плюсы: просто пишется. Позволяет направлять фаззер, путём изменения множества. Выбор символа становится более осмысленным с точки зрения программирования. Минусы: нужно начальное множество. Нужно искусственно бороться с зациклиниваем при генерации теста и контролировать размер, что сильно влияет на "случайность".

При генерации с равной вероятностью выбираем символ грамматики из текущей вершинки Плюсы: просто Минусы: работает хуже остальных. Например: будет часто вставлять терминальный символ вместо рамширения дерева.

Чем длиннее тест - тем он дольше будет выполняться, и тем сложнее будет разбираться в случае обнаружении бага

Из истории - чем код сложнее и рекурсивнее, тем вероятнее в нём есть баг.

Какие свойства хотим получить у сгенерированных?

Информацию о покрытии

Более детальный способ описывать покрытие. Метрика интересена только в контексте наличия других тестов. Плюсы: получаем более информативную оценку. Минусы: сложно реализовывать.

Подсчёт количества строк/функций, которые покрыл тест. Плюсы: просто (относительно) Минусы: метрика сама по себе не очень информативна. В контесте множества тестов можно выялять те, которые попадают в новые строки/функции.

Покрытие веток(путей)

Короткие

Сложные рекурсивные тесты

Функция(какая-то) от метрик, полученных при запуске, построении(сложность теста, покрытие, наличие эксепшона, длина)

Как понять, что тест успешный?

Убрать из тестов семантические ошибки. Например, использование необъявленных переменных

Если используется вероятностная грамматика, то в ней можно изменять случайно вероятности

Рекурсивное дублирование поддерева

AFL мутации - бит флип, замена "интересных значений"

Для каждой вершинки в дереве считаем какую-то дополнительную информация и меняем, только на дерево с такой же инфомарцией. Например, тип нетерминала, количество переменных.

Замена поддерева на случайно сгенерированное

Скрещивание с другими тестами, путём замены поддеревьев

Мутации

Контролировать размер во время построение теста, если такое используется

Можно просто выкидывать поддеревья

Рекурсивное замещение поддерева

Уменьшение поддерева

Запускать только один пример из очереди

Минимизация размера

Менять СРАЗУ всё поколение: Запускать все тесты и считать для каждого функцию качества

Как прогонять множество во время фаззинга?

Можно брать обратные вероятности Это позволит "мыслить" фаззеру в противоположном направлении. Плюсы: чаще будем покрывать неожиданные пути в грамматике. Минусы: чаще будем попадать в неинтересные символы(например в js часто будет вызываться return)

По количеству поддеревьев в нетерминале.

Если есть какое-то множество примеров, можно по частоте встречаемости нетерминалов в них.

Откуда брать вероятности?

По грамматике с вероятностями

Равновероятно по грамматике

Как генерировать?

Сгенерировать самим

Взять изначальное множество из интернета(либо из исходников, либо с гитхаба)

Откуда брать начальное множество?

Множество тестов

Покрытие функций(function coverage)

Покрытие кода(line coverage)

Патчим бинарь, чтобы получать метрики от тестов

Какие метрики хотим получать от бинаря?

Как патчить?

Можно как в АФЛ

Fuzzer

whitebox Предпочтительнее

greybox