跟前一篇软件测试：C++ Google Test单元测试框架GTest测试技术一样，模糊测试也是经常用于软件测试中，甚至有时候模糊测试还和GTest内嵌使用，但是不同于GTest测试框架，模糊测试是一种方法，有很多不同的框架，我们可以根据需求选择不同的测试框架，下面以LLVM libFuzzer为例

libFuzzer 简介

LLVM libFuzzer 是 LLVM 生态系统中的一个模糊测试工具，用于自动化地发现软件程序中的漏洞和错误。它通过生成大量的随机输入数据并观察程序的行为来进行模糊测试。 libFuzzer 是一个基于内存的模糊测试引擎，使用LLVM的插桩技术和代码优化功能来提高测试效率和覆盖率

以下是 libFuzzer 的一些功能特点：

自动化模糊测试：libFuzzer 提供了一种自动化的模糊测试方法，可以生成大量的随机输入数据，并在每个输入上运行目标函数进行测试。它通过观察程序的崩溃、断言失败、未定义行为等反馈来发现潜在的问题。

• 内存安全性：libFuzzer 通过使用 AddressSanitizer (ASan) 和 UndefinedBehaviorSanitizer (UBSan) 等工具来确保模糊测试过程中的内存安全性。这有助于检测和报告内存错误、缓冲区溢出、使用已释放内存等问题
• 代码覆盖率分析：libFuzzer 使用 LLVM 提供的代码覆盖率分析技术，帮助确定已经执行过的代码路径和未执行的代码区域。这有助于评估测试的质量和覆盖范围，并帮助发现潜在的漏洞
• 快速收敛：libFuzzer 使用一种称为 “回退”（Backoff）的策略，以更快地收敛到程序中的漏洞。它会根据测试结果调整输入数据的变异程度，使得能够更快地发现问题并生成更有潜力的测试用例
• 灵活性和可定制性：libFuzzer 提供了多种选项和配置参数，使用户能够根据自己的需求进行定制。例如，可以设置最大测试时间、内存消耗限制、覆盖率报告等。
  多线程支持：libFuzzer 支持多线程执行，可以利用多核处理器并行进行模糊测试，加快测试速度

用例测试

写一个小demo来展示，下面是一个简单的示例，演示如何编写一个模糊测试用例来测试一个简单的函数，该函数从输入中读取字符串并将其转换为整数

// my_source.cpp
#include <string>
#include <iostream>int string_to_int(const std::string& str) {// This function does not handle exceptions correctlyreturn std::stoi(str);
}

编写一个简单的模糊测试用例，用于测试这个 string_to_int 函数

// my_fuzz_test_fuzzer.cpp
#include <cstdint>
#include <cstddef>
#include <string>extern "C" int LLVMFuzzerTestOneInput(const uint8_t *Data, size_t Size) {// Create a string from the input datastd::string input(reinterpret_cast<const char*>(Data), Size);// Call the function we want to fuzzint result = string_to_int(input);// Do something with the result if needed (in this case, just print it)// This is optional, but can be helpful for debugging// std::cout << "Result: " << result << std::endl;return 0;
}

使用clang ++来编译

clang++ -fsanitize=fuzzer -o my_fuzz_test_fuzzer my_fuzz_test_fuzzer.cpp my_source.cpp

运行后程序崩溃并输出

ubuntu@VM-8-16-ubuntu:~/tmp$ ./my_fuzz_test_fuzzer -runs=10000
INFO: Running with entropic power schedule (0xFF, 100).
INFO: Seed: 271889240
INFO: Loaded 1 modules   (24 inline 8-bit counters): 24 [0x5634f4ff2fd8, 0x5634f4ff2ff0), 
INFO: Loaded 1 PC tables (24 PCs): 24 [0x5634f4ff2ff0,0x5634f4ff3170), 
INFO: -max_len is not provided; libFuzzer will not generate inputs larger than 4096 bytes
terminate called after throwing an instance of 'std::invalid_argument'what():  stoi
==3398064== ERROR: libFuzzer: deadly signal
# ...
NOTE: libFuzzer has rudimentary signal handlers.Combine libFuzzer with AddressSanitizer or similar for better crash reports.
SUMMARY: libFuzzer: deadly signal
MS: 0 ; base unit: 0000000000000000000000000000000000000000artifact_prefix='./'; Test unit written to ./crash-da39a3ee5e6b4b0d3255bfef95601890afd80709
Base64: 

最后有用例输入产生的文件路径Test unit written to ./crash-da39a3ee5e6b4b0d3255bfef95601890afd80709，即

cat ./crash-a27ccd37d9bf8363d556137baf72042fd37165dc

说明输入为空的时候，会产生报错，根据产生异常的输入，从而可以更好的定位问题

按照正常的逻辑写一遍

#include <string>
#include <iostream>int string_to_int(const std::string& str) {// This function does not handle exceptions correctlyreturn std::stoi(str);
}int main()
{std::string inputStr = "";int ret = string_to_int(inputStr);return 0;
}

ubuntu@VM-8-16-ubuntu:~/tmp$ g++ my_source.cpp -o test_source
ubuntu@VM-8-16-ubuntu:~/tmp$ ./test_source 
terminate called after throwing an instance of 'std::invalid_argument'what():  stoi
Aborted (core dumped)

报错成立，还有如AFL、Honggfuzz、Peach Fuzzer等Fuzz测试框架，大家有兴趣可以去试一试