Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Goで学ぶ Fuzzing

Avatar for TOC TOC
September 07, 2022
Programming
0
290

Goで学ぶ Fuzzing

Let's Go Talk #3 で LT 登壇した際の資料
https://connehito.connpass.com/event/257000/
Avatar for TOC

TOC

September 07, 2022
Tweet

More Decks by TOC

See All by TOC
仮説→実験→検証→学び... プロダクト開発を前に進めるためにMobius Outcome Deliveryを学び 実践していること
Avatar for TOC toc0522
3
3.2k
ファシリテーションLT ~良いファシリテーションをするために~
Avatar for TOC toc0522
0
410
もっと快適に! デプロイフロー改善への道!
Avatar for TOC toc0522
0
800
Go で Golden File Test
Avatar for TOC toc0522
1
1k

Other Decks in Programming

See All in Programming
TypeScript だけを書いて Tauri でデスクトップアプリを作ろう / Tauri with only TypeScript
Avatar for tris tris5572
2
540
テスト分析入門/Test Analysis Tutorial
Avatar for Hiroki Iseri goyoki
12
2.7k
ワンバイナリWebサービスのススメ
Avatar for mackee mackee
10
7.5k
Feature Flag 自動お掃除のための TypeScript プログラム変換
Avatar for azarashi azrsh
PRO
4
630
Cloudflare Realtime と Workers でつくるサーバーレス WebRTC
Avatar for Taiyu Yoshizawa nekoya3
0
240
"使いづらい" をリバースエンジニアリングする UI の読み解き方
Avatar for 株式会社Rebase_エンジニアリング rebase_engineering
0
110
型安全なDrag and Dropの設計を考える
Avatar for yudppp yudppp
5
660
【TSkaigi 2025】これは型破り?型安全? 真実はいつもひとつ!(じゃないかもしれない)TypeScript クイズ〜〜〜〜!!!!!
Avatar for Kimita Shoichi kimitashoichi
1
300
DevDay2025-OracleDatabase-kernel-addressing-history
Avatar for oracle4engineer oracle4engineer
PRO
7
1.6k
Efficiency and Rock 'n’ Roll (Really!)
Avatar for Holly Cummins hollycummins
0
600
ワイがおすすめする新潟の食 / 20250530phpconf-niigata-eve
Avatar for kasacchiful kasacchiful
0
250
抽象データ型について学んだ
Avatar for ryounasso ryounasso
0
210

Featured

See All Featured
Fireside Chat
Avatar for paigeccino paigeccino
37
3.5k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
3.9k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
32
2.3k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
69
4.7k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
137
34k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
252
21k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
523
40k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
329
21k
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
7
590
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
71
11k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
233
140k
Fontdeck: Realign not Redesign
Avatar for Paul Robert Lloyd paulrobertlloyd
84
5.5k

Transcript

  1. 2022/09/07 Let’s Go Talk #3 TOC Goで学ぶ Fuzzing

  2. - TOC - コネヒト株式会社 - バックエンドエンジニア - 主にPHP - Go

    は趣味で勉強中 自己紹介

  3. - 入力されうるテストケースを大量に入力し、挙動を確認するテスト手法 - 意図しないデータが入力されたときに、挙動を調べることで不具合・脆弱 性の確認を行う - 想定外のデータを`ファズ`というらしい - テストをする立場だと、自分に都合のいいテストデータを選びがちである が、バイアスのかからないテストデータを利用できる

    Fuzzingってなに?

  4. - 元々 go-fuzz というツールがあったが、Go 1.18 から標準で機能として追 加された - go-fuzz は今まで334個のバグを見つけている(すごい!)

    - 既存のツールよりも簡単に、ユニットテストと同じように書けることを目指し た - ref. Design Draft: First Class Fuzzing Go 1.18 で追加されたFuzzing

  5. 実際のコード例 - seed corpus と呼ばれる 「種になるデータ」を入れる。未 指定もできるがパターンがわ かっているなら指定した方が信 頼できそう。 -

    テスト部分はユニットテストと 同様にはできない場合がある (=入力を予測できない)。元 に戻せるテストだったり、エ ラーが起きたかどうかで確認 する。

  6. ユニットテストと比較

  7. go-fuzz を使うと - func Fuzz(data []byte) int でテストデータ生成したり - `$

    go-fuzz-build` したり - `$ go-fuzz` したり と特有の処理、コマンドがあるっぽい

  8. 実際に実行すると - IDE だと GUI 上で -fuzz フ ラグをつけられて便利 -

    execs: 入力数。大量に実行 されていることがわかる - interesting: コードカバレッ ジが変化するような入力値。数 の増加は時間と共に鈍化。 実行

  9. 実際に実行すると - 失敗したテストケースは別 ファイルと記録される - 次回テストするときのテスト データとして用いられる - これも個別実行できるので デバッグに便利!

  10. - Go 標準の Fuzzing は既存のユニットテストっぽく書けるので学習コスト が小さそう - 自身のバイアスに囚われない、信頼できるテストケースを見つけられそう - Design

    Draft: First Class Fuzzing で思想を知るのは面白いので、他 のも見てみたい まとめ

  11. - Design Draft: First Class Fuzzing - Go1.18から追加されたFuzzingとは - フューチャー技術ブログ

    - Go Fuzzingによるファジングテスト/ランダムテスト - 絶対に落とせない!友人の結婚式の余興用アプリケーションをエラーゼロ で突破した - M3 Tech Blog 参考