Fuzz Testing

Definition / 定义

Fuzz testing（模糊测试/随机测试）：一种软件测试与安全测试方法，通过自动生成大量随机、畸形或意外格式的输入数据喂给程序，观察是否出现崩溃、异常、卡死、内存错误或安全漏洞。常用于发现解析器、文件处理、网络协议实现中的缺陷。（也常简称 fuzzing。）

Pronunciation / 发音

/ˈfʌz ˌtɛstɪŋ/

Examples / 例句

We used fuzz testing to find crashes in the file parser.
我们用模糊测试在文件解析器里找到了崩溃问题。

After weeks of fuzz testing the API, the team discovered a rare input that caused a security flaw.
对该 API 进行了数周的模糊测试后，团队发现了一种罕见输入会触发安全漏洞。

Etymology / 词源

fuzz 原意是“绒毛、毛茸茸的东西”，也可引申为“模糊不清的状态”。在计算机领域里，fuzzing 指用“杂乱、不可预测”的输入去“搅一搅”程序，看它会不会出错；testing 则是“测试”。合起来 fuzz testing 就是用随机/畸形输入进行的自动化测试。

Related Words / 相关词汇

• Mutation
• Randomized
• Robustness
• Input
• Parser
• Crash
• Vulnerability
• Exploit
• Security
• Regression

Literary Works / 文学作品中的用例

• The Fuzzing Book（Andreas Zeller 等，开源教材/专著）：系统讲解 fuzz testing 的原理与实践。
• Security Engineering（Ross Anderson）：在软件与系统安全测试语境中讨论包括 fuzzing 在内的测试方法。
• The Art of Software Security Assessment（Mark Dowd, John McDonald, Justin Schuh）：介绍用 fuzzing 发现安全漏洞的思路与案例。