模糊測試技術存在什么問題

模糊測試技術存在的主要問題如下：

• 測試自動化程度低需要人工干預。大部分工具在模糊數據的生成以及對被測對象檢測結果分析等過程都需要人工參與，自動化程度不高。例如，Wfuzz等工具需要測試人員提供正常請求并對其中需要模糊化的變量進行標記才能生成一系列模糊數據。

• 檢測的漏洞類型較少。一些工具只能對少數幾種特定類型的安全漏洞進行模糊測試。例如，WebFuzz等工具只能檢測Web 應用系統中的SQL 注入和XSS等類型的安全漏洞，漏洞發掘能力有限。

• 漏洞檢測的漏報率和誤報率高。一些工具的模糊數據生成以及漏洞檢測方法較為簡單，造成測試結果中漏洞的漏報率和誤報率比較高。例如，WebFuzz等工具只是通過在原始請求中簡單地插入攻擊載荷的方式來生成模糊數據，在漏洞檢測上也只是簡單地查找返回的Web 網頁中是否存在特定的內容。

• 工具的可擴展性較差。例如，WebFuzz 等工具在設計上均存在耦合程度高、可擴展性差等問題，對新漏洞類型的擴展比較困難。

• 測試結果的展示不夠直觀。大部分工具在測試結果的展示上都不夠直觀，有的甚至僅提供模糊測試的執行日志，如WSFuzzer、Wfuzz 等，需要人工對數百條記錄進行分析來確定其中的哪些測試數據引發了被測對象的安全漏洞。

回答所涉及的環境：聯想天逸510S、Windows 10。