WOW! Full #security devroom at #FOSDEM, for the presentation of "ROSA: finding #backdoors with #fuzzing" by my fellow co-authors @plumtrie and M. Marcozzi.

More about this work in the full paper at https://arxiv.org/abs/2505.08544 (#openaccess, of course)

Justus Wilhelm Perlwitz's talk from #TenguCon 2.0 on QEMU and AFL++ fuzzing for MIPS-based networking equipment is available now!

Check it out!
#tengusec #Hacking #InfoSec #qemu #fuzzing #MIPS #networking #tokyo #CyberSecurity

https://www.youtube.com/watch?v=CWHhpSqZKeE

Fuzzing PostgreSQL at the front door 🔍

Adam Wołk Microsoft shows how fuzzing uncovers edge-case bugs in libpq and #PgBouncer. Learn how to build harnesses, mutate protocol inputs, and harden Postgres networking code against real-world failures. https://p2d2.cz/en/talks/knocking_at_the_door_fuzzing_libpq_and_pgbouncer/

#libpq #Fuzzing #DatabaseSecurity #PostgresDev#OpenSource #DBA #DeveloperTools

Hej!

I have recently write for no particular reason my version of ffuf, wfuzz, dirbuster and such, named DirNutek in #rustlang . It’s open-source and completely free. Don’t hesitate to try it out for yourself or skim through the code and drop your issues or add something new.

#cybersecurity #fuzzing

Spoiler. I wrote this using only Gemini CLI #gemini and had to help it during development only once or twice.

https://neosb.net/blog/dirnutek

Published my first PyPI package today, called lafleur.

#lafleur is a specialized CPython JIT fuzzer that uses a coverage-guided, evolutionary approach. It executes test cases, observes their effect on the JIT's state by analyzing verbose trace logs, and uses that feedback to guide its mutations, becoming smarter at finding interesting code paths over time.

Let me know if you use it or have any questions.

https://pypi.org/project/lafleur/
https://github.com/devdanzin/lafleur

#Python #CPython #fuzzer #fuzzing #JIT

Keep fuzzing is not enough: "Bugs that survive the heat of continuous fuzzing"
#ossfuzz #fuzzing

https://github.blog/security/vulnerability-research/bugs-that-survive-the-heat-of-continuous-fuzzing/?trk=feed_main-feed-card_feed-article-content

Нечёткое тестирование свойств

Есть две категории программистов. Первая пишет тесты, вторая работает. Шутейка, конечно, на троечку, но в каждой байке, застрявшей в пабликах мёртвых заархивированных форумов, под пылью и нафталином, — можно нащупать слой гранита настоящей правды. Модное ныне «покрытие кода тестами» напоминает попытку оклеить айсберг новогодней мишурой — вроде и весело, но Титаник все равно пойдет на дно. Я собираюсь рассказать о том, как правильно тестировать код в изоляции (интеграционные тесты — зверь из соседнего вольера, и о нем — в другой раз). Для этого нам потребуется пара определений. Фаззинг (от английского fuzzing ) — это способ тестирования, при котором программе скармливают огромные объемы случайных, полуслучайных или вообще намеренно испорченных данных, с надеждой выявить уязвимости или баги. Изначально этот метод применялся в академической среде для поиска дыр в безопасности, но быстро перекочевал в руки здравомыслящих разработчиков. Property-based testing , в свою очередь, представляет собой подход к тестированию, где вместо проверки конкретных примеров типа «дважды два — четыре» мы формулируем общие свойства системы. Например: «если функция принимает список и возвращает список, то длина результата не должна превышать длину входа». А дальше уже инструмент генерирует тысячи, миллионы вариантов входных данных и проверяет, соблюдается ли это условие. Taste it!

https://habr.com/ru/articles/983538/

#propertybasedtesting #fuzzing #testing