GO語言（十六）：模糊測試入門（上）

本教程介紹了 Go 中模糊測試的基礎(chǔ)知識。通過模糊測試，隨機數(shù)據(jù)會針對您的測試運行，以嘗試找出漏洞或?qū)е卤罎⒌妮斎搿？梢酝ㄟ^模糊測試發(fā)現(xiàn)的一些漏洞示例包括 SQL 注入、緩沖區(qū)溢出、拒絕服務(wù)和跨站點腳本攻擊。

創(chuàng)新互聯(lián)主要從事成都網(wǎng)站建設(shè)、做網(wǎng)站、網(wǎng)頁設(shè)計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)定海,10余年網(wǎng)站建設(shè)經(jīng)驗,價格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):028-86922220

在本教程中，您將為一個簡單的函數(shù)編寫一個模糊測試，運行 go 命令，并調(diào)試和修復(fù)代碼中的問題。

首先，為您要編寫的代碼創(chuàng)建一個文件夾。

1、打開命令提示符并切換到您的主目錄。

在 Linux 或 Mac 上：

在 Windows 上：

2、在命令提示符下，為您的代碼創(chuàng)建一個名為 fuzz 的目錄。

3、創(chuàng)建一個模塊來保存您的代碼。

運行g(shù)o mod init命令，為其提供新代碼的模塊路徑。

接下來，您將添加一些簡單的代碼來反轉(zhuǎn)字符串，稍后我們將對其進行模糊測試。

在此步驟中，您將添加一個函數(shù)來反轉(zhuǎn)字符串。

a.使用您的文本編輯器，在 fuzz 目錄中創(chuàng)建一個名為 main.go 的文件。

獨立程序（與庫相反）始終位于 package 中main。

此函數(shù)將接受string，使用byte進行循環(huán) ，并在最后返回反轉(zhuǎn)的字符串。

此函數(shù)將運行一些Reverse操作，然后將輸出打印到命令行。這有助于查看運行中的代碼，并可能有助于調(diào)試。

e.該main函數(shù)使用 fmt 包，因此您需要導(dǎo)入它。

第一行代碼應(yīng)如下所示：

從包含 main.go 的目錄中的命令行，運行代碼。

可以看到原來的字符串，反轉(zhuǎn)它的結(jié)果，然后再反轉(zhuǎn)它的結(jié)果，就相當(dāng)于原來的了。

現(xiàn)在代碼正在運行，是時候測試它了。

在這一步中，您將為Reverse函數(shù)編寫一個基本的單元測試。

a.使用您的文本編輯器，在 fuzz 目錄中創(chuàng)建一個名為 reverse_test.go 的文件。

b.將以下代碼粘貼到 reverse_test.go 中。

這個簡單的測試將斷言列出的輸入字符串將被正確反轉(zhuǎn)。

使用運行單元測試go test

接下來，您將單元測試更改為模糊測試。

單元測試有局限性，即每個輸入都必須由開發(fā)人員添加到測試中。模糊測試的一個好處是它可以為您的代碼提供輸入，并且可以識別您提出的測試用例沒有達到的邊緣用例。

在本節(jié)中，您將單元測試轉(zhuǎn)換為模糊測試，這樣您就可以用更少的工作生成更多的輸入！

請注意，您可以將單元測試、基準(zhǔn)測試和模糊測試保存在同一個 *_test.go 文件中，但對于本示例，您將單元測試轉(zhuǎn)換為模糊測試。

在您的文本編輯器中，將 reverse_test.go 中的單元測試替換為以下模糊測試。

Fuzzing 也有一些限制。在您的單元測試中，您可以預(yù)測Reverse函數(shù)的預(yù)期輸出，并驗證實際輸出是否滿足這些預(yù)期。

例如，在測試用例Reverse("Hello, world")中，單元測試將返回指定為"dlrow ,olleH".

模糊測試時，您無法預(yù)測預(yù)期輸出，因為您無法控制輸入。

但是，Reverse您可以在模糊測試中驗證函數(shù)的一些屬性。在這個模糊測試中檢查的兩個屬性是：

（1）將字符串反轉(zhuǎn)兩次保留原始值

（2）反轉(zhuǎn)的字符串將其狀態(tài)保留為有效的 UTF-8。

注意單元測試和模糊測試之間的語法差異：

（3）確保新包unicode/utf8已導(dǎo)入。

隨著單元測試轉(zhuǎn)換為模糊測試，是時候再次運行測試了。

a.在不進行模糊測試的情況下運行模糊測試，以確保種子輸入通過。

如果您在該文件中有其他測試，您也可以運行g(shù)o test -run=FuzzReverse，并且您只想運行模糊測試。

b.運行FuzzReverse模糊測試，查看是否有任何隨機生成的字符串輸入會導(dǎo)致失敗。這是使用go test新標(biāo)志-fuzz執(zhí)行的。

模糊測試時發(fā)生故障，導(dǎo)致問題的輸入被寫入將在下次運行的種子語料庫文件中g(shù)o test，即使沒有-fuzz標(biāo)志也是如此。要查看導(dǎo)致失敗的輸入，請在文本編輯器中打開寫入 testdata/fuzz/FuzzReverse 目錄的語料庫文件。您的種子語料庫文件可能包含不同的字符串，但格式相同。

語料庫文件的第一行表示編碼版本。以下每一行代表構(gòu)成語料庫條目的每種類型的值。由于 fuzz target 只需要 1 個輸入，因此版本之后只有 1 個值。

c.運行沒有-fuzz標(biāo)志的go test； 新的失敗種子語料庫條目將被使用：

由于我們的測試失敗，是時候調(diào)試了。

GO語言（十八）：模糊測試入門（下）-

Reverse為了解決這個問題，如果輸入不是有效的 UTF-8 ，讓我們返回一個錯誤。

a.在您的文本編輯器中，將現(xiàn)有Reverse函數(shù)替換為以下內(nèi)容。

如果輸入字符串包含無效的 UTF-8 字符，此更改將返回錯誤。

b.由于 Reverse 函數(shù)現(xiàn)在返回錯誤，因此修改main函數(shù)以丟棄額外的錯誤值。將現(xiàn)有main功能替換為以下內(nèi)容。

這些調(diào)用Reverse應(yīng)該返回一個 nil 錯誤，因為輸入字符串是有效的 UTF-8。

c.您將需要導(dǎo)入錯誤和 unicode/utf8 包。main.go 中的 import 語句應(yīng)如下所示。

d.修改reverse_test.go文件檢查是否有錯誤，如果返回產(chǎn)生錯誤則跳過測試。

除了返回之外，您還可以調(diào)用t.Skip()以停止執(zhí)行該模糊輸入。

a.使用 go test 運行測試

b.使用go test -fuzz=Fuzz進行模糊測試，幾秒鐘后，停止用ctrl-C模糊測試。

除非您通過-fuzztime標(biāo)志進行限制，否則模糊測試將一直運行，直到遇到失敗的輸入。如果沒有發(fā)生故障，默認(rèn)是永遠運行，并且可以使用 中斷該過程ctrl-C。

c. 使用go test -fuzz=Fuzz -fuzztime 30s。如果沒有30 秒發(fā)現(xiàn)失敗，它會在退出模糊測試。

模糊測試通過了！

做得很好！您剛剛學(xué)習(xí)了在 Go 中進行模糊測試。

— main.go —

— reverse_test.go —

GO語言（二十九）：模糊測試（下）-

語料庫文件以特殊格式編碼。這是種子語料庫和生成語料庫的相同格式。

下面是一個語料庫文件的例子：

第一行用于通知模糊引擎文件的編碼版本。雖然目前沒有計劃未來版本的編碼格式，但設(shè)計必須支持這種可能性。

下面的每一行都是構(gòu)成語料庫條目的值，如果需要，可以直接復(fù)制到 Go 代碼中。

在上面的示例中，我們在 a []byte后跟一個int64。這些類型必須按順序與模糊測試參數(shù)完全匹配。這些類型的模糊目標(biāo)如下所示：

指定您自己的種子語料庫值的最簡單方法是使用該 (*testing.F).Add方法。在上面的示例中，它看起來像這樣：

但是，您可能有較大的二進制文件，您不希望將其作為代碼復(fù)制到您的測試中，而是作為單獨的種子語料庫條目保留在 testdata/fuzz/{FuzzTestName} 目錄中。golang.org/x/tools/cmd/file2fuzz 上的file2fuzz工具可用于將這些二進制文件轉(zhuǎn)換為為[]byte.

要使用此工具：

語料庫條目：語料庫 中的一個輸入，可以在模糊測試時使用。這可以是特殊格式的文件，也可以是對 (*testing.F).Add。

覆蓋指導(dǎo)： 一種模糊測試方法，它使用代碼覆蓋范圍的擴展來確定哪些語料庫條目值得保留以備將來使用。

失敗的輸入：失敗的輸入是一個語料庫條目，當(dāng)針對 模糊目標(biāo)運行時會導(dǎo)致錯誤或恐慌。

fuzz target： 模糊測試的目標(biāo)功能，在模糊測試時對語料庫條目和生成的值執(zhí)行。它通過將函數(shù)傳遞給 (*testing.F).Fuzz實現(xiàn)。

fuzz test： 測試文件中的一個被命名為func FuzzXxx(*testing.F)的函數(shù)，可用于模糊測試。

fuzzing： 一種自動化測試，它不斷地操縱程序的輸入，以發(fā)現(xiàn)代碼可能容易受到的錯誤或漏洞等問題。

fuzzing arguments： 將傳遞給 模糊測試目標(biāo)的參數(shù)，并由mutator進行變異。

fuzzing engine： 一個管理fuzzing的工具，包括維護語料庫、調(diào)用mutator、識別新的覆蓋率和報告失敗。

生成的語料庫： 由模糊引擎隨時間維護的語料庫，同時模糊測試以跟蹤進度。它存儲在$GOCACHE/fuzz 中。這些條目僅在模糊測試時使用。

mutator： 一種在模糊測試時使用的工具，它在將語料庫條目傳遞給模糊目標(biāo)之前隨機操作它們。

package： 同一目錄下編譯在一起的源文件的集合。

種子語料庫： 用戶提供的用于模糊測試的語料庫，可用于指導(dǎo)模糊引擎。它由 f.Add 在模糊測試中調(diào)用提供的語料庫條目以及包內(nèi) testdata/fuzz/{FuzzTestName} 目錄中的文件組成。這些條目默認(rèn)使用go test運行，無論是否進行模糊測試。

測試文件： 格式為 xxx_test.go 的文件，可能包含測試、基準(zhǔn)、示例和模糊測試。

漏洞： 代碼中的安全敏感漏洞，可以被攻擊者利用。

「測試開發(fā)全?；?Go」(1) Go語言基本了解

作為一個測試，作為一個測試開發(fā)， 全棧化+管理 是我們未來的發(fā)展方向。已經(jīng)掌握了Java、Python、HTML的你，是不是也想了解下最近異常火爆的Go語言呢？來吧，讓我們一起了解下。

Go 是一個開源的編程語言 ，它能讓構(gòu)造簡單、可靠且高效的軟件變得容易。

Go是從2007年末由Robert Griesemer, Rob Pike, Ken Thompson主持開發(fā)，后來還加入了Ian Lance Taylor, Russ Cox等人，并最終于2009年11月開源，在2012年早些時候發(fā)布了Go 1穩(wěn)定版本?，F(xiàn)在Go的開發(fā)已經(jīng)是完全開放的，并且擁有一個活躍的社區(qū)。這三個人都是計算機界的大神，有的參與了C語言的編寫，有的還是數(shù)學(xué)大神，有的還獲得了計算機最高榮譽-圖靈獎。

接下來說說 Go語言的特色 :

簡潔、快速、安全

并行、有趣、開源

內(nèi)存管理、數(shù)組安全、編譯迅速

Go語言的用途 :

Go 語言被設(shè)計成一門應(yīng)用于搭載 Web 服務(wù)器，存儲集群或類似用途的巨型中央服務(wù)器的系統(tǒng)編程語言。

對于高性能分布式系統(tǒng)領(lǐng)域而言，Go 語言無疑比大多數(shù)其它語言有著更高的開發(fā)效率。它提供了海量并行的支持，這對于 游戲 服務(wù)端的開發(fā)而言是再好不過了。

Go語言的環(huán)境安裝:

建議直接打開 官方地址因為墻的原因打不開

因為我用的是windows系統(tǒng)，這里主要講下Windows系統(tǒng)上使用Go語言來編程。

Windows 下可以使用 .msi 后綴(在下載列表中可以找到該文件，如go1.17.2.windows-amd64.msi)的安裝包來安裝。

默認(rèn)情況下 .msi 文件會安裝在 c:Go 目錄下。你可以將 c:Gobin 目錄添加到 Path 環(huán)境變量中。添加后你需要重啟命令窗口才能生效。個人建議還是安裝到 Program Files文件夾中。

使用什么開發(fā)工具來對Go語言進行編寫:

個人建議用VS code, 也可以用Sublime Text來編輯。如果你之前看了我講的HTML語言的學(xué)習(xí)，肯定已經(jīng)下載了VS code. 那么這時你需要在VS code中下載Go語言的擴展插件。

這里有一個巨大的坑，就是在下載Go的插件和依賴包時，會提示一些包沒有。主要是因為下載的依賴包部分被墻了，只能想別的辦法去下載。

建議參考網(wǎng)頁:

解決vscode中g(shù)olang插件安裝失敗方法

在學(xué)習(xí)go的過程中，使用的是vscode，但是一直提示安裝相關(guān)插件失敗，然后上網(wǎng)查方法，基本上是叫你建立golang.org目錄什么的，結(jié)果全是錯的，而且都是抄襲，很煩。無意之中看到一位博主分享的方法，他也是飽受上述的垃圾博文困擾，然后找到了解決方法，這里向他致敬，秉著讓更多人看到正確解決方法的心，我寫下正確的解決方法，希望對你有所幫助，也可以點開原博主鏈接參考：

Go有一個全球模塊代理，設(shè)置代理再去安裝golang的插件，就可以安裝成功了。步驟有，首先Windows用戶打開Powershell，一個藍色的界面，注意不是cmd！不知道的直接打開window下面的搜索，然后輸入powershell，搜索出來就可以了。

$env:GO111MODULE=“on”

$env:GOPROXY=“”

go env -w GOPROXY=

go env -w GOPRIVATE=*.corp.example.com

然后我們打開VsCode界面，下面會提示安裝插件，我們選擇Install ALL，就會安裝成功

當(dāng)你在運行Go語言程序時，提示所有的插件包都已經(jīng)安裝成功了時，就可以正常使用了，要不然一堆報錯會讓你非常心煩。

好了，今天先到這里，晚安、下班~