<aside> 💡

看一些和有状态协议 Fuzz 相关的工作，找一找能够 Fuzz SIP 协议的工具

</aside>

Summary

• AFLNet
  • 支持发送包的序列，以及对某个包突变，来对某个状态进行 Fuzz
  • 支持基于 Status Code 反馈的自动状态模型推理
• NSFuzz
  • 动静态分析识别 end-block 来同步 fuzz 的状态
  • 静态分析识别程序内状态变量来表示程序状态
• ChatAFL
  • 利用 LLM 生成初始种子
  • 利用 LLM 生成语法模板
  • 利用 LLM 尝试突破卡住的边界
• ProFuzzBench
  • 多种预处理的目标作为基准
  • 对于 SIP 这种 multiparty 协议的测试，预配置其他的 party，并把配置信息固定到初始种子
• Bleem
  • 黑盒 Man-in-the-middle 测试
  • 使用 scapy 来做结构化突变
  • 在考量 PUT 状态时额外考虑发送的包，方向，顺序等，粒度更细

[OS] ChatAFL: Large Language Model guided Protocol Fuzzing

Ruijie Meng (National University of Singapore, Singapore), Martin Mirchev (National University of Singapore), Marcel Böhme (MPI-SP, Germany and Monash University, Australia), Abhik Roychoudhury (National University of Singapore)

文中其实没有提到像测试 SBC 设备这样，既生成 Request 又生成 Response 的情况，不过在早期，可以把 PBX 和 SBC 打包看作是 Server。

Motivation & Design

• 为了解决初始种子（C1），我们建议要求 LLM 在给定的种子消息序列中添加一个随机消息。
• 为了解决消息的未知结构（C2），我们建议要求 LLM 为每种消息类型提供关于消息结构的机器可读信息。
• 为了导航未知状态空间（C3），我们建议请求 LLM，给定模糊器和协议实现之间最近的消息交换，返回将导致新状态的输入。

Grammar-guided Mutation

• Grammar Extraction

  Challenge：如何生成机器可读的语法描述？即定义语法模板规范。

  这里就是用模板里面扣除 Value 设置标签形式实现的（是否可以增加一些类型信息、和必要性信息？就像 boofuzz 的模板一样）

  

• Mutation based on Grammar

  Challenge1：时间开销，不能每次都询问 GPT 让其来突变种子，需要基于 GPT 生成的模板完成离线突变。

  Challenge2：解析映射，对于已有的种子解析还原语法模板是一个大的问题，可以利用已有工具（wireshark、scapy），作者使用的是正则匹配，感觉正则匹配限制很大，而且仅限明文协议。

  

Enriching Initial Seeds