隨著5G、智能網(wǎng)聯(lián)、IOT等行業(yè)的興起與普及，計(jì)算機(jī)軟件蓬勃發(fā)展，軟件工具變得越來(lái)越復(fù)雜和成熟，黑客攻擊也變得越來(lái)越頻繁。

某安全研究機(jī)構(gòu)在2021年公布了20175個(gè)新漏洞，創(chuàng)下年度新增漏洞數(shù)量新高。資料顯示，在漏洞發(fā)布的12個(gè)月內(nèi)，被利用的新漏洞增加了24%，這意味著修復(fù)已知漏洞的窗口越來(lái)越小。企業(yè)如何才能更安全、有效地預(yù)防網(wǎng)絡(luò)攻擊？答案是：主動(dòng)地檢測(cè)往往比被動(dòng)的防御要更加及時(shí)有效，使用模糊測(cè)試作為安全質(zhì)量檢查工具，成為軟件工具發(fā)展的重中之重。

模糊測(cè)試是一種通過(guò)向被測(cè)目標(biāo)提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來(lái)發(fā)現(xiàn)異常和漏洞的方法。在測(cè)試中，通過(guò)工具自動(dòng)化生成的攻擊數(shù)據(jù)對(duì)測(cè)試對(duì)象進(jìn)行攻擊，從而發(fā)現(xiàn)潛在的安全缺陷與漏洞。

模糊測(cè)試的對(duì)象種類(lèi)繁多，包括但不限于Web應(yīng)用程序、通信協(xié)議、數(shù)據(jù)庫(kù)等。在互聯(lián)網(wǎng)飛速發(fā)展的今天，伴隨網(wǎng)絡(luò)協(xié)議的安全性測(cè)試成為一個(gè)重要的問(wèn)題，協(xié)議模糊測(cè)試成為應(yīng)用最為廣泛的模糊測(cè)試技術(shù)。

網(wǎng)絡(luò)環(huán)境的復(fù)雜性，使得當(dāng)前協(xié)議模糊測(cè)試技術(shù)實(shí)現(xiàn)漏洞挖掘困難重重。包括：為了滿(mǎn)足不同場(chǎng)景下的應(yīng)用需求，軟件工具被設(shè)計(jì)了各種各樣的網(wǎng)絡(luò)通信息協(xié)議；協(xié)議模糊測(cè)試工具需要與被測(cè)目標(biāo)建立通信連接，可能會(huì)帶來(lái)額外的成本；協(xié)議模糊測(cè)試的被測(cè)目標(biāo)通常具有很大的狀態(tài)空間，很難探索深層次的漏洞。

基于此背景，固源科技的協(xié)議模糊漏洞挖掘產(chǎn)品解決方案應(yīng)運(yùn)而生。該方案利用固源科技自主研發(fā)的覆蓋多種不同協(xié)議模塊和API接口的自動(dòng)化智能黑盒模糊測(cè)試平臺(tái)，可以有效地發(fā)現(xiàn)和糾正軟件生命周期中潛在的安全漏洞與缺陷。

固源-領(lǐng)跑技術(shù)創(chuàng)新

固源科技協(xié)議模糊漏洞挖掘產(chǎn)品解決方案為客戶(hù)提供規(guī)?；⒆詣?dòng)化的模糊測(cè)試漏洞挖掘能力。在黑客攻擊之前，揭露潛在安全漏洞。其優(yōu)勢(shì)包括：

一是自帶多種模糊測(cè)試策略和變異算法，支持對(duì)不同行業(yè)私有協(xié)議的狀態(tài)及流程進(jìn)行深度定制，可以在誤報(bào)率極低的情況下，發(fā)現(xiàn)潛在的未知漏洞和缺陷。

二是用戶(hù)可以根據(jù)平臺(tái)已有的協(xié)議模版或規(guī)則進(jìn)行新增和深度定制，滿(mǎn)足一切深度模糊測(cè)試的可行性需求。

三是無(wú)線(xiàn)模糊領(lǐng)域絕對(duì)領(lǐng)先地位，是目前唯一支持WiFi-5G、WiFi-6；USB、Type-C的模糊測(cè)試工具。已適配多個(gè)不同廠家的無(wú)線(xiàn)驅(qū)動(dòng)，實(shí)現(xiàn)STA&WPA狀態(tài)機(jī)下的高效漏洞挖掘機(jī)制的模糊測(cè)試平臺(tái)。

四是包含基于協(xié)議定義與漏洞挖掘用例生成模糊攻擊向量的模糊測(cè)試工具，能夠同時(shí)發(fā)現(xiàn)協(xié)議相關(guān)的已知漏洞（CVE），未知漏洞和未知漏洞類(lèi)型（CWE)。

固源-吃透協(xié)議規(guī)劃

固源科技協(xié)議模糊漏洞挖掘產(chǎn)品解決方案通過(guò)覆蓋不同行業(yè)的協(xié)議集，滿(mǎn)足不同行業(yè)的漏洞挖掘需求。除下述列舉的協(xié)議規(guī)劃外，還包括諸如5G、NB-IOT、V2X等不同行業(yè)的模糊測(cè)試模塊。

應(yīng)用程序模糊：針對(duì)金融系統(tǒng)、支付系統(tǒng)以及web應(yīng)用程序，例如url表單，用戶(hù)生成的內(nèi)容，RPC請(qǐng)求等。主要針對(duì)金融、證券等支付接口以及web應(yīng)用程序

汽車(chē)領(lǐng)域模糊：包括AMQP、Audio-、MP3、MP4、XMPP、MQTT、WIFI.藍(lán)牙、BLE、CAN總線(xiàn)，4G-LTE、DSRC車(chē)聯(lián)網(wǎng)等等。針對(duì)汽車(chē)內(nèi)部通信協(xié)議以及無(wú)線(xiàn)通信與核心動(dòng)力控制協(xié)議的漏洞挖掘套件。

物聯(lián)網(wǎng)領(lǐng)域模糊：包括WIFI、Bluetooth、MQTT、UPNP、TCP/IP、4G-LTE等協(xié)議適用于物聯(lián)網(wǎng)設(shè)備制造商；路由器、手機(jī)、機(jī)頂盒、智能穿戴設(shè)備、物聯(lián)網(wǎng)醫(yī)療設(shè)備等等漏洞挖掘套件。

金融領(lǐng)域模糊：包括FTP、HTTP、IPSec、IPV4、IPV6、PPPOE、SNMP、SSH、TLS、SSL、SMP等。針對(duì)銀行、財(cái)務(wù)、金融通用架構(gòu)的通信傳輸漏洞挖掘套件。

工控領(lǐng)域模糊：包括Modbus PLC、Modbus Master、DNP3 Server、COAP等等。針對(duì)工控協(xié)議漏洞挖掘套件，適用于電力、水利、石油工業(yè)等等。

通過(guò)固源科技協(xié)議模糊漏洞挖掘產(chǎn)品解決方案，你將更全面地考慮到程序的安全性和健壯性，避免陷入漏洞攻擊和整改的泥潭。從安全質(zhì)量檢查的角度來(lái)看，它提供了一種有效的方法來(lái)提前發(fā)現(xiàn)潛在缺陷；對(duì)于攻擊者（安全研究人員），它提供了一種快速有效的攻擊方法，并能夠自動(dòng)化的進(jìn)行漏洞挖掘，有效進(jìn)行滲透和漏洞利用。

Gartner 2021年已正式將模糊漏洞挖掘作為未來(lái)的軟件安全測(cè)試的重要發(fā)展方向進(jìn)行關(guān)注。目前，國(guó)內(nèi)在漏洞挖掘方向仍屬于初步階段，固源科技已在協(xié)議模糊漏洞挖掘方向?qū)崿F(xiàn)了成熟的產(chǎn)品化。值得一提的是，固源科技還是最早涉及智能網(wǎng)聯(lián)汽車(chē)模糊測(cè)試的廠商，也是國(guó)內(nèi)目前唯一一家對(duì)智能網(wǎng)聯(lián)汽車(chē)全協(xié)議覆蓋的廠商。

2022年，在第七屆“i創(chuàng)杯”創(chuàng)意大賽的角逐中，固源科技“全開(kāi)發(fā)流程自動(dòng)化安全模糊漏洞解決方案”榮獲成長(zhǎng)組優(yōu)勝獎(jiǎng)，成為國(guó)內(nèi)唯一一家能與國(guó)際主流商業(yè)模糊工具進(jìn)行PoC對(duì)比，且完美勝出的模糊測(cè)試廠家。截至目前，固源科技已為國(guó)內(nèi)超過(guò)50家大型客戶(hù)成功實(shí)施模糊漏洞挖掘項(xiàng)目，并獲得了國(guó)內(nèi)市場(chǎng)智能網(wǎng)絡(luò)汽車(chē)、物聯(lián)網(wǎng)、科研院所、軍工等行業(yè)客戶(hù)的高度認(rèn)可。

北京固源網(wǎng)絡(luò)科技有限公司（簡(jiǎn)稱(chēng)“固源科技”）成立于2015年，團(tuán)隊(duì)從2019年開(kāi)始研究模糊漏洞挖掘核心算法，核心成員由國(guó)內(nèi)頂尖網(wǎng)絡(luò)攻防安全專(zhuān)家(現(xiàn)國(guó)內(nèi)網(wǎng)絡(luò)尖刀成員)，以色列Beyond Security，Checkmarx中國(guó)區(qū)骨干成員組成。固源科技自主研發(fā)的一系列軟件安全漏洞挖掘安全產(chǎn)品，可以廣泛應(yīng)用于各行各業(yè)的軟硬件環(huán)境中，為客戶(hù)實(shí)現(xiàn)安全前置，提前發(fā)現(xiàn)潛在安全漏洞。