שיעור 9: Fuzzing בסיוע AI — יצירת Payloads חכמה
Fuzzing הוא שיגור קלטים בלתי-צפויים לתוכנה כדי לגרום לה לקרוס או להתנהג שלא כצפוי. AI מחולל fuzzing חכם יותר — במקום אקראי מוחלט, הוא יוצר קלטים שנראים לגיטימיים אבל מכילים payload נסתר.
Fuzzing זה לנסות לשבור מנעול בניסיון אלף מפתחות שונים. AI fuzzing זה שמישהו חכם מנחש אילו מפתחות הכי סביר שיעבדו ומנסה אותם ראשון.
- Fuzzing
- טכניקת בדיקת אבטחה שבה שולחים קלטים שגויים, בלתי-צפויים או אקראיים לתוכנה כדי לגרום לה לקרוס או לחשוף פגיעויות
- בדיקת מוטציה
- שיטת fuzzing שלוקחת קלט חוקי ומשנה אותו בדרכים שונות — מוסיפה תווים, משנה ערכים, מחלקת שדות — כדי למצוא קלטים שגורמים להתנהגות שגויה
- יצירת Payloads
- יצירת קלטים זדוניים מיוחדים שנועדים לנצל חולשה ספציפית — כמו וריאציות של SQL Injection או XSS שעוקפות מנגנוני סינון
- מקרה קצה (Edge Case)
- תרחיש קלט קיצוני או יוצא דופן שמפתחים לרוב לא מתכננים עבורו — כמו מחרוזת ריקה, מספר שלילי, או תו מיוחד — ושיכול לחשוף פגיעויות