在几个月前的搜索过程中,我偶然发现了一些XML模糊器:
> untidy.这似乎没有在2007年的最新更新中进行积极开发.(Sourceforge上的项目不再可用,后代见archive.org for partial content和packetstorm下载.它被添加到Peach-1.0,但不再完全出现在Peach-3.1 Community Edition源中.
> Fuzzware.似乎对基于XSD的模糊测试提供了不错的支持.
> Peach. Peach模糊器项目将帮助您生成有效的XML文件,但如果您想使用解析器模糊解析器而不是应用程序,则可能没有多大帮助.这当然值得一试,但要预先警告,如果您不了解XML中的各种结构,那么创建数据模型可能是一个繁琐的过程.相关项目HotFuzz也值得一提.
> JBroFuzz.这是非常积极的发展.我找不到任何描述它的XML(和SOAP)模糊测试功能的教程.您可能会因为它可以单独用作模糊库而得到帮助.
> Codenomicon Defensics for XML.这是一个商业模糊器.免责声明:我过去曾对Defensics进行过评估,并发现它适用于各种用途.单独的XML解析器可以使用各种技术进行模糊测试 – 您可以提供由模糊器生成的文件,或发出HTTP请求等.请记住,如果您需要模糊应用程序而不是解析器,则必须使用不同的方法; Defensics将帮助您在模糊输入中选择所需的各类输入,以便您可以定位解析器或应用程序或两者.