c++如何使用Fuzz测试发现安全漏洞_c++ AFL与libFuzzer入门

在C++项目中，使用模糊测试（Fuzz Testing）是发现内存错误、崩溃和潜在安全漏洞的有效手段。AFL（American Fuzzy Lop）和libFuzzer 是目前最流行的两款 fuzzing 工具，它们通过生成大量异常输入来触发程序中的未定义行为或崩溃，从而帮助开发者提前发现隐患。

什么是模糊测试

模糊测试是一种自动化测试技术，通过向程序输入大量随机或变异的数据，观察程序是否出现崩溃、断言失败或内存泄漏等问题。它特别适合检测解析器、序列化逻辑、网络协议处理等对输入敏感的代码模块。

AFL 入门使用

AFL 是一款基于覆盖率引导的模糊测试工具，支持编译时插桩以监控程序执行路径。它适用于黑盒或灰盒测试，尤其适合已有可执行文件的场景。

1. 安装 AFL

立即学习“C++免费学习笔记（深入）”；

在 Ubuntu 上可通过包管理器安装：

• sudo apt install afl

或从源码编译最新版：

• git clone https://github.com/google/AFL.git
• cd AFL && make && sudo make install

2. 编译目标程序

使用 afl-g++ 或 afl-clang++ 替代原编译器进行插桩：

• afl-g++ -g -O0 -fno-omit-frame-pointer -o my_parser my_parser.cpp

-g 和 -O0 有助于调试；-fno-omit-frame-pointer 提高插桩准确性。

3. 准备输入样本

创建一个目录存放初始输入样例（称为语料库 corpus）：

• mkdir inputs && echo "test" > inputs/test.txt

尽量提供合法但多样的输入，帮助 AFL 快速探索路径。

4. 开始 fuzzing

运行 afl-fuzz：

• afl-fuzz -i inputs -o outputs -- ./my_parser

若程序从 stdin 读取输入，则直接运行即可。若需读文件，可在命令中传入 @@：

• afl-fuzz -i inputs -o outputs -- ./my_parser @@

@@ 会被 AFL 替换为临时文件路径。

5. 查看结果

fuzzing 运行一段时间后，检查 outputs/crashes/ 目录是否有崩溃用例。这些文件可用来复现问题并调试。

Thiings

免费的拟物化图标库

下载

libFuzzer 入门使用

libFuzzer 是 LLVM 项目的一部分，属于 in-process fuzzing 工具，与程序链接在一起运行，效率更高，适合单元级别 fuzzing。

1. 环境要求

确保安装了 clang 和 libc++-dev：

• sudo apt install clang libclang-dev llvm-dev libstdc++-dev

2. 编写 fuzz 测试函数

每个 libFuzzer 测试需要实现一个入口函数：

extern "C" int LLVMFuzzerTestOneInput(const uint8_t *data, size_t size) {
    // 处理 data 和 size，例如解析数据
    if (size > 0 && data[0] == 'A') {
        if (size > 1 && data[1] == 'B') {
            if (size > 2 && data[2] == 'C') {
                __builtin_trap(); // 模拟崩溃
            }
        }
    }
    return 0;
}

函数返回 0 表示正常，不抛异常。libFuzzer 会持续调用此函数并传入变异数据。

3. 编译并链接 libFuzzer

使用 clang++ 并链接 libFuzzer 库：

• clang++ -g -fsanitize=fuzzer,address -fsanitize-coverage=trace-pc-guard my_fuzz_test.cpp -o my_fuzzer

常用 sanitizer 包括 address（ASan）用于检测内存错误，还可加入 undefined、leak 等。

4. 运行 fuzzing

直接执行生成的可执行文件：

• ./my_fuzzer

它会自动开始 fuzzing，并输出覆盖率、执行速度和发现的 crash。如要指定语料库目录：

• ./my_fuzzer corpus_dir

首次运行时可为空目录，后续会不断优化输入。

5. 分析崩溃

当发现 crash，libFuzzer 会保存对应的输入到文件（如 crash-xxxx）。可用以下命令复现：

• ./my_fuzzer crash-xxxx

结合 ASan 输出和 GDB 调试定位问题根源。

实用建议与技巧

无论使用 AFL 还是 libFuzzer，以下建议都能提升效果：

• 尽量让被测函数只依赖输入数据，减少外部依赖（如文件、网络），便于 fuzz 集成。
• 尽早启用 AddressSanitizer（ASan）或 UndefinedBehaviorSanitizer（UBSan），它们能捕获更多低级错误。
• 为复杂结构设计合理的输入格式，比如 JSON、XML 解析器应从简单有效样本开始。
• 定期保存和去重语料库，提高 fuzzing 效率。
• 在 CI 中集成 fuzzing，例如每天运行一定时间，防止回归。

基本上就这些。AFL 更适合已有程序的整体测试，libFuzzer 更适合模块化、快速迭代的开发流程。两者结合使用，能显著提升 C++ 项目的安全性与稳定性。不复杂但容易忽略的是：坚持长期运行和及时修复发现的问题。