答案是使用LibFuzzer进行C++模糊测试需编写LLVMFuzzerTestOneInput函数作为入口,通过clang++启用-fsanitize=fuzzer编译插桩,将字节流转换为有意义输入并调用被测函数,结合AddressSanitizer检测内存错误,可选词典和种子语料库提升效率,运行时自动变异输入寻找崩溃,发现漏洞后保存用例便于复现。
使用LibFuzzer进行C++模糊测试,核心在于编写一个符合规范的 fuzz target 函数,并将其与 LibFuzzer 链接编译。整个过程不依赖外部测试用例输入,而是通过内存中生成和变异数据实现高效覆盖测试。
fuzz target 函数:入口点
LibFuzzer 要求你定义一个名为 LLVMFuzzerTestOneInput 的函数,这是每次模糊测试执行的入口。它接收一个指向数据的指针和长度:
extern "C" int LLVMFuzzerTestOneInput(const uint8_t* data, size_t size) {
// 解析 data 并调用被测函数
return 0;
}
返回值通常为0,非0值可用于特殊控制(如崩溃模拟),一般保持默认即可。
编译与链接:启用插桩
必须使用 Clang 编译器(支持 -fsanitize=fuzzer)并开启插桩选项。基本命令如下:
- clang++ -fsa
nitize=fuzzer,address -g -O1 -fno-omit-frame-pointer - 编译你的源码和 fuzz target 文件
- 链接后生成可执行 fuzz 程序
nitize=fuzzer,address -g -O1 -fno-omit-frame-pointer常用 sanitizer 包括 address(检测内存错误)、undefined(未定义行为)、coverage(覆盖率)。address 最常用,能捕捉越界、use-after-free 等问题。
编写有效的 fuzz test
在 LLVMFuzzerTestOneInput 中,你需要将原始字节流转换成有意义的输入。例如测试一个解析 JSON 的函数:
extern "C" int LLVMFuzzerTestOneInput(const uint8_t* data, size_t size) {
std::string input(data, data + size);
try {
parse_json(input); // 被测函数
} catch (...) {
// 忽略异常,避免干扰 fuzzing 流程
}
return 0;
}
注意不要让异常中断 fuzzing 循环。如果被测逻辑可能抛出异常,应捕获并继续。
词典与种子语料库:提升效率
LibFuzzer 支持通过词典(.dict 文件)指导变异方向。例如对 JSON 测试,可以添加常见关键字:
{"key": "value"} "string" null true false使用 -dict=your.dict 启动 fuzzing。还可以提供初始语料目录,帮助快速进入高覆盖路径:
./fuzz_test_corpus_dir
运行与结果分析
直接执行生成的二进制文件即可启动 fuzzing:
./fuzz_testLibFuzzer 会持续输出当前迭代数、覆盖率、执行速度等信息。若发现崩溃,会自动保存导致问题的输入到磁盘(如 crash-xxxx)。之后可用该文件复现问题:
./fuzz_test crash-xxxx基本上就这些。关键在于写出健壮的 fuzz target,配合 sanitizer 和合理输入处理,就能有效暴露深层 bug。
