Rust Forge Conf 2025将于6月28日至7月2日在新西兰惠灵顿举行，会议包括主题演讲、工作坊和参观活动。亮点包括Adobe分享Rust在Photoshop中的应用及OpenStar在核聚变方面的贡献。文章探讨了利用大型语言模型和模糊测试将C语言程序移植到Rust的有效性，并展示了Rust安全手册，强调开发者需通过纪律确保应用安全。

本研究提出FuzzDistill方法，通过编译时分析和机器学习优化模糊测试目标，解决效率低下和资源消耗问题，能够识别高优先级漏洞区域，显著减少测试时间。

WinAFL是一个基于AFL的模糊测试工具，专为Windows平台设计。它利用DynamoRIO插桩工具来跟踪和记录程序执行路径，以发现漏洞。使用WinAFL进行模糊测试需要准备初始种子输入和编写harness来控制程序的输入和执行路径。本文介绍了如何使用WinAFL对一个图片解析功能进行Fuzzing的实战案例。通过分析目标函数和构造参数，最终发现了多个程序崩溃的漏洞。

文章介绍了LLM辅助Fuzzing在信息安全领域的应用，Google将LLM与OSS-Fuzz项目相结合，实现全自动化的工作流。LLM生成的fuzzing target成功发现了漏洞，表明LLM的合理使用能提升fuzzing能力。Google团队的长远目标是将LLM fuzz target generation作为OSS-Fuzz的完全集成功能，并扩展支持到Python和Java等语言生态系统。OSS-Fuzz已经帮助1000多个项目发现并修复了漏洞和bug。文章还提到了xz项目投毒事件和开源运动的局限性。

调研发现顶会Fuzzing论文缺乏可复现性、测试目标选择有限、比较对象不准确、实验环境存在问题、数据分析不充分。文章呼吁建立公开透明的公证机制，提高Fuzzing研究的质量和可信度。

本文介绍了基于《The Fuzzing Book》在线教程的初级内容的学习实践总结，包括Mutation-based Fuzzing和Greybox Fuzzing两部分。实现了Boosted Greybox Fuzzing和Directed Greybox Fuzzing。用三个fuzzer测试了同一个现实中使用的程序——HTMLParser，结果显示，两个greybox fuzzer的表现都要比blackbox fuzzer好。介绍了DirectedSchedule和AFLGoSchedule两种改进版本的fuzzer，其中AFLGoSchedule产生了593个能够解决迷宫问题的答案。最后，用“无限猴子”定理来结束文章。

本文介绍了Fuzzing中的code coverage统计方法，包括Python中的coverage统计和外部程序的coverage统计。同时介绍了基础Fuzzing的coverage统计和branch coverage的概念。

华为云社区上的一篇论文《GREYONE：Data Flow Sensitive Fuzzing》提出了一种数据流敏感的模糊测试方法，通过污点跟踪和分支匹配度来指导变异和进化方向。实验结果显示，该方法在代码覆盖率和漏洞挖掘方面取得了较好效果。

ReDoS 攻击是攻击者构造特殊字符串，导致正则表达式运行消耗大量资源，使服务器无法响应。防范手段有降低正则表达式复杂度、严格限制用户输入字符串长度、使用单元测试、fuzzing 测试、使用静态代码分析工具、增加性能监控等。

Go fuzzing(模糊测试)是Go 1.18发布的另一个非常重要的特性，因为Go泛型已经把大家的目光都吸引过去了，导致go fuzzing这个特性有些人还不是太了解。Go官方发布了一个文档，介绍了Go Fuzzing技术。Go Fuzzing

An overview of fuzz testing and the go-fuzz tool, as well as a look at the recent draft design for including fuzz testing in the `go` tool (LWN.net).

本文首发www.droidsec.cn | 安卓安全中文站...

Fuzzing (or fuzz testing) is becoming increasingly popular. Fuzzing Clang and fuzzing with Clang is not new: Clang-based AddressSanitizer has been used for fuzz-testing the Chrome browser for...