Rust 模糊测试通过 libfuzzer-sys crate 提供支持,该 crate 提供与 LLVM 的 libFuzzer 模糊测试引擎的绑定。如需了解详情,请参阅 libfuzzer-sys 代码库以及 LLVM libFuzzer 项目页面。
rust_fuzz 模块会生成一个模糊测试器二进制文件,该文件在运行时开始模糊测试(类似于 cc_fuzz 模块)。由于模糊测试器利用了 libFuzzer 模糊测试引擎,因此它可以接受许多参数来控制模糊测试。这些参数在 libFuzzer 文档中列出。
rust_fuzz 模块是 rust_binary 模块的扩展,因此具有相同的属性和注意事项。此外,它们还实现了与 cc_fuzz 模块相同的许多属性和功能。
构建 rust_fuzz 模块时,会发出 --cfg fuzzing 标志,该标志可用于支持库代码的条件编译以改进模糊测试。
编写基本的 Rust 模糊测试器
您可以使用以下代码在 Android.bp 构建文件中定义模糊模块
rust_fuzz {
name: "example_rust_fuzzer",
srcs: ["fuzzer.rs"],
// Config for running the target on fuzzing infrastructure can be set under
// fuzz_config. This shares the same properties as cc_fuzz's fuzz_config.
fuzz_config: {
fuzz_on_haiku_device: true,
fuzz_on_haiku_host: false,
},
// Path to a corpus of sample inputs, optional. See https://llvm.net.cn/docs/LibFuzzer.html#corpus
corpus: ["testdata/*"],
// Path to a dictionary of sample byte sequences, optional. See https://llvm.net.cn/docs/LibFuzzer.html#dictionaries
dictionary: "example_rust_fuzzer.dict",
}
fuzzer.rs 文件包含一个简单的模糊测试器
fn heap_oob() {
let xs = vec![0, 1, 2, 3];
let val = unsafe { *xs.as_ptr().offset(4) };
println!("Out-of-bounds heap value: {}", val);
}
fuzz_target!(|data: &[u8]| {
let magic_number = 327;
if data.len() == magic_number {
heap_oob();
}
});
此处 fuzz_target!(|data: &[u8]| { /* 在此处使用数据进行模糊测试 */ }); 定义了由 libFuzzer 引擎调用的模糊目标入口点。data 参数是由 libFuzzer 引擎提供的字节序列,用作模糊测试目标函数的输入。
在此示例模糊测试器中,仅检查数据的长度以确定是否调用 heap_oob 函数,调用该函数会导致越界读取。libFuzzer 是一种覆盖率引导的模糊测试器,因此它可以快速收敛到有问题的长度,因为它确定前 326 字节的数据不会产生新的执行路径。
在 tools/security/fuzzing/example_rust_fuzzer/ 中查找此示例(树内)。要查看另一个模糊测试器(模糊测试 rustlib 依赖项)的稍微复杂的示例(树内),请参阅 legacy_blob_fuzzer。
有关如何编写结构感知型 Rust 模糊测试器的指南,请参阅 Rust Fuzz book,这是 Rust Fuzz 项目的官方文档。