การฟัซ Rust ได้รับการรองรับผ่าน libfuzzer-sys
Crate ซึ่งมี
การเชื่อมโยงกับเครื่องมือฟัซ libFuzzer ของ LLVM ดูข้อมูลเพิ่มเติมได้ที่ที่เก็บ libfuzzer-sys
รวมถึงหน้าโปรเจ็กต์ LLVM libFuzzer
rust_fuzz
โมดูลจะสร้างไบนารีของ Fuzzer ซึ่งจะเริ่มฟัซเมื่อมีการเรียกใช้ (คล้ายกับโมดูล cc_fuzz
) เนื่องจาก Fuzzer ใช้ประโยชน์จากlibFuzzer
Fuzzing Engine จึงสามารถรับอาร์กิวเมนต์จำนวนมากเพื่อควบคุมการฟัซได้ ซึ่งระบุไว้ในเอกสารประกอบของ libFuzzer
rust_fuzz
โมดูลเป็นส่วนขยายของrust_binary
โมดูล จึงมีพร็อพเพอร์ตี้และข้อควรพิจารณาเหมือนกัน
นอกจากนี้ ยังใช้พร็อพเพอร์ตี้และฟังก์ชันการทำงานหลายอย่างเหมือนกับโมดูล cc_fuzz
เมื่อสร้างrust_fuzz
โมดูล ระบบจะปล่อยแฟล็ก --cfg fuzzing
ซึ่งใช้เพื่อรองรับการคอมไพล์แบบมีเงื่อนไขของโค้ดไลบรารีเพื่อปรับปรุงการฟัซ
เขียน Fuzzer พื้นฐานใน Rust
คุณกำหนดโมดูล Fuzz ในไฟล์บิลด์ Android.bp
ได้ด้วยโค้ดนี้
rust_fuzz {
name: "example_rust_fuzzer",
srcs: ["fuzzer.rs"],
// Config for running the target on fuzzing infrastructure can be set under
// fuzz_config. This shares the same properties as cc_fuzz's fuzz_config.
fuzz_config: {
fuzz_on_haiku_device: true,
fuzz_on_haiku_host: false,
},
// Path to a corpus of sample inputs, optional. See https://llvm.org/docs/LibFuzzer.html#corpus
corpus: ["testdata/*"],
// Path to a dictionary of sample byte sequences, optional. See https://llvm.org/docs/LibFuzzer.html#dictionaries
dictionary: "example_rust_fuzzer.dict",
}
ไฟล์ fuzzer.rs
มี Fuzzer แบบง่ายๆ ดังนี้
fn heap_oob() {
let xs = vec![0, 1, 2, 3];
let val = unsafe { *xs.as_ptr().offset(4) };
println!("Out-of-bounds heap value: {}", val);
}
fuzz_target!(|data: &[u8]| {
let magic_number = 327;
if data.len() == magic_number {
heap_oob();
}
});
ในที่นี้ fuzz_target!(|data: &[u8]| { /* fuzz using data here */ });
จะกำหนด
จุดแรกเข้าของเป้าหมายการฟัซที่เรียกใช้โดยเครื่องมือ libFuzzer
อาร์กิวเมนต์ data
คือ
ลำดับไบต์ที่เครื่องมือ libFuzzer
จัดเตรียมไว้เพื่อใช้เป็นอินพุต
ในการฟัซฟังก์ชันเป้าหมาย
ใน Fuzzer ตัวอย่างนี้ ระบบจะตรวจสอบเฉพาะความยาวของข้อมูลเพื่อพิจารณา
ว่าจะเรียกใช้ฟังก์ชัน heap_oob
หรือไม่ ซึ่งการเรียกใช้จะส่งผลให้เกิด
การอ่านที่อยู่นอกขอบเขต libFuzzer
เป็น Fuzzer ที่มีคำแนะนำด้านความครอบคลุม จึงเข้าถึงความยาวที่มีปัญหาได้อย่างรวดเร็ว เนื่องจากพิจารณาว่าข้อมูล 326 ไบต์แรกไม่
ส่งผลให้เกิดเส้นทางการดำเนินการใหม่
ค้นหาตัวอย่างนี้ในโครงสร้างที่ tools/security/fuzzing/example_rust_fuzzer/
หากต้องการดูตัวอย่างที่ซับซ้อนขึ้นเล็กน้อยของ Fuzzer อื่น (ซึ่ง Fuzz rustlib
Dependency) ในต้นไม้ ให้ดู legacy_blob_fuzzer
ดูคำแนะนำเกี่ยวกับวิธีเขียน Fuzzer ใน Rust ที่รับรู้โครงสร้างได้ที่หนังสือ Rust Fuzz ซึ่งเป็นเอกสารอย่างเป็นทางการสำหรับโปรเจ็กต์ Rust Fuzz