ファジングとシンボリック実行-違いは何ですか？

誰かが2つの本当の違いは何であるのか、そしてなぜまたはいつ私たちが他の方法よりも優先すべきかを明確にできますか？

（動的）シンボリック実行はホワイトボックスファジングと呼ばれることもあります。たとえば、 [〜＃〜] sage [〜＃〜] を参照してください。ファジングはカテゴリにグループ化できます。

• ブラックボックスファジング：テスト中のシステム（SUT）に関する情報を必要としません。入力を生成するには、2つの方法があります。文法/モデルから生成するか、既存のものから変更します。
• ホワイトボックスファジング：API、環境など、SUTに関する情報を必要とするall。実行される命令を認識して、シンボリックセマンティクスを持つ命令のセマンティクス。
• グレイボックスファジング：SUTに関する情報を少し知る必要があります（つまり、基本的なブロック遷移）。現在、これは最も成功しています。たとえば、 このトロフィーの場合 を参照してください。

誰かが2つの本当の違いは何であるのか、そしてなぜまたはいつ私たちが他の方法よりも優先すべきかを明確にできますか？

次の条件を持つ入力xを持つプログラムを考えてみましょう：if (x > 5 && x < 10) abort();
xが整数であると仮定します。つまり、そのドメインは2です。³²。エラーをトリガーする入力xをランダムに生成する確率は4/2です³²。この確率は、巧妙なグレーボックスファジングでは少し高くなりますが、一般的には、この種の状態を吸収します。

一方、ホワイトボックスファジングは、シンボルx = Xを使用してプログラムを実行し、制約ソルバーを使用します。 Z 、制約を解決します。 Z3は、ミリ秒またはナノ秒でX> 5∧X <10を解くことができます。

しかし、無料の昼食はありません。この力は高価です。

• 最近の論文 は、パスが1つしかない、つまり制約が解決されていない場合、 [〜＃〜] klee [〜＃〜] での実行はネイティブ実行より3000倍遅いことを示しています angr は300,000倍遅くなります。非常に遅いため、100％のカバレッジを達成することは非現実的です。
• 制約ソルバーは線形演算にのみ適しています。文字列、浮動小数点演算などの理論のための効率的なソルバーはありません
• API、環境などに関するすべての情報を知ることは非現実的です。

現在の最新技術はhybrid fuzzingであり、greyboxとwhiteboxの両方を組み合わせています。アイデアは、global searchとしてgreybox fuzzerを使用して、状態空間をすばやくサンプリングすることです。行き詰まった場合は、重量級のホワイトボックスをlocal searchとして使用します。これは、 Cyber​​ Grand Challenge ですべてのチームが使用しているテクニックです。控えめなマシンで実行されているハイブリッドフザー QSym は、クラウドで実行されているグレーボックスファザーではGoogleが見つけられなかったCVEを発見しました。