PostgreSQL16 fuzzing technique: различия между версиями
Строка 49: | Строка 49: | ||
При фаззинге БД должна быть одинакова для всех тесткейсов. В противном случае фаззер не сможет воспроизвести найденные краши. Для восстановления БД используются моментальные снапшоты файловой системы btrfs. | При фаззинге БД должна быть одинакова для всех тесткейсов. В противном случае фаззер не сможет воспроизвести найденные краши. Для восстановления БД используются моментальные снапшоты файловой системы btrfs. | ||
< | <code>diff --git a/src/backend/main/main.c b/src/backend/main/main.c | ||
index ed11e8be7f..e6a1b72eef 100644 | index ed11e8be7f..e6a1b72eef 100644 | ||
--- a/src/backend/main/main.c | --- a/src/backend/main/main.c | ||
Строка 149: | Строка 149: | ||
+ closedir(src_dir); | + closedir(src_dir); | ||
+ closedir(dest_dir); | + closedir(dest_dir); | ||
+}</ | +}</code> | ||
Патч no_fork.patch<br /> | Патч no_fork.patch<br /> | ||
Сервер postgresql16 должен работать в один процесс. Патч также отключает вспомогательные службы, напр. SysLogger, WalWriter, BgWriter, кроме Checkpointer. Без службы Checkpointer с некоторыми тесткейсами postgres крашится. Вызов функции pause() нужен для получения SIGCHLD от дочернего процесса, вызванного в макросе StartupDataBase. Не получив SIGCHLD процесс не станет считывать входные данные. Функция maybe_start_bgworkers, предположительно, нужна для вызова пользовательских фоновых процессов, для фаззинга лишняя. | Сервер postgresql16 должен работать в один процесс. Патч также отключает вспомогательные службы, напр. SysLogger, WalWriter, BgWriter, кроме Checkpointer. Без службы Checkpointer с некоторыми тесткейсами postgres крашится. Вызов функции pause() нужен для получения SIGCHLD от дочернего процесса, вызванного в макросе StartupDataBase. Не получив SIGCHLD процесс не станет считывать входные данные. Функция maybe_start_bgworkers, предположительно, нужна для вызова пользовательских фоновых процессов, для фаззинга лишняя. | ||
< | <code>diff --git a/src/backend/libpq/be-secure.c b/src/backend/libpq/be-secure.c | ||
index a0f7084018..57fca666a8 100644 | index a0f7084018..57fca666a8 100644 | ||
--- a/src/backend/libpq/be-secure.c | --- a/src/backend/libpq/be-secure.c | ||
Строка 259: | Строка 259: | ||
#define HAVE_SHM_OPEN 1 | #define HAVE_SHM_OPEN 1 | ||
#define HAVE_SYMLINK 1 | #define HAVE_SYMLINK 1 | ||
#endif</ | #endif</code> | ||
<span id="подготовка-базы-данных"></span> | <span id="подготовка-базы-данных"></span> | ||
Версия от 11:46, 14 января 2025
Технология фаззинг-тестирования postgresql16
Фаззинг-тестирование реляционной базы данных postgresql16 выполняется с использованием инструментирующего фаззера AFL++ (версия 4.21c), адресного санитайзера (ASAN) и библиотеки libdesock. Для создания отчета о покрытии исходного кода postgresql16 используется утилита afl-cov.
Подготовка
Окружение: alt/alt:p10
Пользователь: user
Для фаззинга необходима файловая система btrfs.
Раздел, в котором запускается фаззинг, должнен быть монтирован с опцией ‘user_subvol_rm_allowed’.
sudo apt-get install -y btrfs-progs libbtrfs-devel
sudo mount -o remount,user_subvol_rm_allowed /home
AFL++ собирается с llvm версии 13.0
cd $HOME
sudo apt-get install -y clang13.0 llvm13.0-devel lld13.0 gcc-c++ gcc-plugin-devel
git clone https://github.com/AFLplusplus/AFLplusplus.git -b v4.21c
export ALTWRAP_LLVM_VERSION=13.0
cd $HOME/AFLplusplus
make
sudo make install
Устанавливаются зависимости
sudo apt-get install -y gear rpm-build OpenSP docbook-style-dsssl postgresql-common \
docbook-style-dsssl-utils docbook-style-xsl flex gcc-c++ libicu-devel \
libkrb5-devel libldap-devel liblz4-devel libossp-uuid-devel libpam-devel \
libreadline-devel libselinux-devel libssl-devel libuuid-devel \
libxslt-devel libzstd-devel openjade perl-DBI perl-devel clang13.0-devel \
python3-dev setproctitle-devel tcl-devel xsltproc zlib-devel
Сборка цели с инструментацией afl для фаззинга сетевого соединения
cd $HOME
git clone https://github.com/fkie-cad/libdesock.git
git clone http://git.altlinux.org/gears/p/postgresql16.git -b 16.4-alt0.c10f2.2
cd libdesock && meson setup ./build && cd ./build && meson compile
cd $HOME/postgresql16/
gear --commit --rpmbuild -- rpmbuild -bp
cd /home/user/RPM/BUILD/postgresql16-16.4
patch -p1 < $HOME/postgres_main_btrfs_ioctl.patch
patch -p1 < $HOME/no_fork.patch
export AFL_USE_ASAN=1
./configure --prefix=$HOME/buildroot CC=afl-clang-lto CXX=afl-clang-lto++ LD=afl-clang-lto
make install
Патч postgres_main_btrfs_ioctl.patch
При фаззинге БД должна быть одинакова для всех тесткейсов. В противном случае фаззер не сможет воспроизвести найденные краши. Для восстановления БД используются моментальные снапшоты файловой системы btrfs.
diff --git a/src/backend/main/main.c b/src/backend/main/main.c
index ed11e8be7f..e6a1b72eef 100644
--- a/src/backend/main/main.c
+++ b/src/backend/main/main.c
@@ -40,8 +40,13 @@
#include "utils/memutils.h"
#include "utils/pg_locale.h"
#include "utils/ps_status.h"
+#include <btrfs/ioctl.h>
+#define DPATH "/home/user/"
+#define SPATH "/home/user/snapshots/"
+#define SUBVOL "btrfs_data"
+
const char *progname;
static bool reached_main = false;
@@ -50,6 +55,7 @@ static void startup_hacks(const char *progname);
static void init_locale(const char *categoryname, int category, const char *locale);
static void help(const char *progname);
static void check_root(const char *progname);
+static void use_btrfs(void);
/*
@@ -58,6 +64,8 @@ static void check_root(const char *progname);
int
main(int argc, char *argv[])
{
+ use_btrfs();
+
bool do_check_root = true;
reached_main = true;
@@ -448,3 +456,65 @@ __ubsan_default_options(void)
return getenv("UBSAN_OPTIONS");
}
+
+
+static void
+use_btrfs(void)
+{
+ struct btrfs_ioctl_vol_args args;
+ int fd, ret;
+ char *src_path, *dest_path, *subvol;
+ DIR *src_dir, *dest_dir;
+
+ memset(&args, 0, sizeof(args));
+ memcpy(args.name, SUBVOL, strlen(SUBVOL));
+
+ subvol = DPATH SUBVOL;
+ dest_path = DPATH;
+ src_path = SPATH SUBVOL;
+
+ dest_dir = opendir(dest_path);
+ if (dest_dir == NULL) {
+ fprintf(stderr, "opendir(%s): %s\n", dest_path, strerror(errno));
+ abort();
+ }
+ fd = dirfd(dest_dir);
+ if (fd == -1) {
+ fprintf(stderr, "dirfd(%s): %s\n", dest_path, strerror(errno));
+ abort();
+ }
+
+ fprintf(stdout,"Delete subvolume: '%s'\n", subvol);
+ ret = ioctl(fd, BTRFS_IOC_SNAP_DESTROY, &args);
+ if (ret < 0) {
+ if (errno != ENOENT) {
+ fprintf(stderr, "ioctl(%s, BTRFS_IOC_SNAP_DESTROY): %s\n", dest_path,
+ strerror(errno));
+ abort();
+ }
+ fprintf(stdout,"Subvolume '%s': %s\n", subvol, strerror(errno));
+ }
+
+ src_dir = opendir(src_path);
+ if (src_dir == NULL) {
+ fprintf(stderr, "opendir(%s): %s\n", src_path, strerror(errno));
+ abort();
+ }
+
+ args.fd = dirfd(src_dir);
+ if (args.fd == -1) {
+ fprintf(stderr, "dirfd(%s): %s\n", src_path, strerror(errno));
+ abort();
+ }
+
+ fprintf(stdout,"Create a snapshot of '%s' in '%s'\n", src_path, subvol);
+ ret = ioctl(fd, BTRFS_IOC_SNAP_CREATE, &args);
+ if (ret < 0) {
+ fprintf(stderr, "ioctl(%s, BTRFS_IOC_SNAP_CREATE): %s\n", src_path,
+ strerror(errno));
+ abort();
+ }
+
+ closedir(src_dir);
+ closedir(dest_dir);
+}
Патч no_fork.patch
Сервер postgresql16 должен работать в один процесс. Патч также отключает вспомогательные службы, напр. SysLogger, WalWriter, BgWriter, кроме Checkpointer. Без службы Checkpointer с некоторыми тесткейсами postgres крашится. Вызов функции pause() нужен для получения SIGCHLD от дочернего процесса, вызванного в макросе StartupDataBase. Не получив SIGCHLD процесс не станет считывать входные данные. Функция maybe_start_bgworkers, предположительно, нужна для вызова пользовательских фоновых процессов, для фаззинга лишняя.
diff --git a/src/backend/libpq/be-secure.c b/src/backend/libpq/be-secure.c
index a0f7084018..57fca666a8 100644
--- a/src/backend/libpq/be-secure.c
+++ b/src/backend/libpq/be-secure.c
@@ -201,10 +201,10 @@ retry:
* cycles checking for this very rare condition, and this should cause
* us to exit quickly in most cases.)
*/
- if (event.events & WL_POSTMASTER_DEATH)
- ereport(FATAL,
- (errcode(ERRCODE_ADMIN_SHUTDOWN),
- errmsg("terminating connection due to unexpected postmaster exit")));
+ // if (event.events & WL_POSTMASTER_DEATH)
+ // ereport(FATAL,
+ // (errcode(ERRCODE_ADMIN_SHUTDOWN),
+ // errmsg("terminating connection due to unexpected postmaster exit")));
/* Handle interrupt. */
if (event.events & WL_LATCH_SET)
diff --git a/src/backend/postmaster/postmaster.c b/src/backend/postmaster/postmaster.c
index b42aae41fc..dc3f14300d 100644
--- a/src/backend/postmaster/postmaster.c
+++ b/src/backend/postmaster/postmaster.c
@@ -247,13 +247,13 @@ bool send_abort_for_kill = false;
/* PIDs of special child processes; 0 when not running */
static pid_t StartupPID = 0,
- BgWriterPID = 0,
+ BgWriterPID = 1,
CheckpointerPID = 0,
- WalWriterPID = 0,
- WalReceiverPID = 0,
- AutoVacPID = 0,
- PgArchPID = 0,
- SysLoggerPID = 0;
+ WalWriterPID = 1,
+ WalReceiverPID = 1,
+ AutoVacPID = 1,
+ PgArchPID = 1,
+ SysLoggerPID = 1;
/* Startup process's status */
typedef enum
@@ -1157,7 +1157,7 @@ PostmasterMain(int argc, char *argv[])
/*
* If enabled, start up syslogger collection subprocess
*/
- SysLoggerPID = SysLogger_Start();
+ // SysLoggerPID = SysLogger_Start();
/*
* Reset whereToSendOutput from DestDebug (its starting state) to
@@ -1459,9 +1459,9 @@ PostmasterMain(int argc, char *argv[])
Assert(StartupPID != 0);
StartupStatus = STARTUP_RUNNING;
pmState = PM_STARTUP;
-
+ pause(); //wait for StartupDataBase() to complete
/* Some workers may be scheduled to start now */
- maybe_start_bgworkers();
+ // maybe_start_bgworkers();
status = ServerLoop();
@@ -1849,8 +1849,8 @@ ServerLoop(void)
MaybeStartWalReceiver();
/* Get other worker processes running, if needed */
- if (StartWorkerNeeded || HaveCrashedWorker)
- maybe_start_bgworkers();
+ // if (StartWorkerNeeded || HaveCrashedWorker)
+ // maybe_start_bgworkers();
#ifdef HAVE_PTHREAD_IS_THREADED_NP
@@ -3103,7 +3103,7 @@ process_pm_child_exit(void)
PgArchPID = StartArchiver();
/* workers may be scheduled to start now */
- maybe_start_bgworkers();
+ // maybe_start_bgworkers();
/* at this point we are really open for business */
ereport(LOG,
@@ -4165,7 +4165,8 @@ BackendStartup(Port *port)
#ifdef EXEC_BACKEND
pid = backend_forkexec(port);
#else /* !EXEC_BACKEND */
- pid = fork_process();
+ // pid = fork_process();
+ pid = 0;
if (pid == 0) /* child */
{
free(bn);
diff --git a/src/include/port.h b/src/include/port.h
index a88d403483..cbb3e056f4 100644
--- a/src/include/port.h
+++ b/src/include/port.h
@@ -512,7 +512,7 @@ extern int wait_result_to_exit_code(int exit_status);
#define HAVE_POLL 1
#define HAVE_POLL_H 1
#define HAVE_READLINK 1
-#define HAVE_SETSID 1
+// #define HAVE_SETSID 1
#define HAVE_SHM_OPEN 1
#define HAVE_SYMLINK 1
#endif
Подготовка базы данных
Создается новый кластер БД data. В кластере создается БД dbfuzz. БД заполняется путем поочередного запуска sql скриптов из каталога src/test/regress/sql из исходного кода postgresql.
Подготовка входных данных
В качестве входных данных используются тесткейсы из каталога src/test/regress/sql из исходного кода postgresql, конвертированные в бинарные файлы с помощью wireshark (см. инструкцию AFLNET).
Данные тесткейсы покрывают около 50% кода. Некоторые тесткейсы очень большие и их рекомендуется разделить на несколько тесткейсов.
Запуск фаззинг-тестирования
export AFL_SKIP_CPUFREQ=1
export AFL_PRELOAD="$HOME/libdesock/build/libdesock.so"
mkdir -pv $HOME/snapshots/
btrfs subvolume create $HOME/btrfs_data
tar -xpf $HOME/data.tar.gz -C $HOME/btrfs_data
btrfs subvolume snapshot $HOME/btrfs_data $HOME/snapshots/
afl-fuzz -i $HOME/seeds -o $HOME/out -t 20000 -- $HOME/buildroot/bin/postgres -D $HOME/btrfs_data/data
Артефакты фаззинга находятся в каталоге $HOME/out.
Недостаток данного метода фаззинг-тестирования - низкая скорость фаззинга.
Преимущество - высокое покрытие кода.
Отключение вспомогательных служб WalWriter, BgWriter и пр. - вопрос спорный. Это незначительно увеличивает скорость фаззинга. Предполается, что отключение этих служб может привести к ложным срабатываниям фаззера как в случае Checkpointer. При включении вспомогательных служб наблюдается низкая стабильность фаззинга.
Покрытие кода фаззинг-тестированием
Сборка postgresql16 с инструментацией gcov
cd $HOME/RPM/BUILD/postgresql16-16.4
make clean
./configure --prefix=$HOME/buildroot-cov --enable-coverage
make install
Подготовка
cd $HOME
git clone https://github.com/vanhauser-thc/afl-cov.git
cd afl-cov
patch -p1 < $HOME/afl-cov.patch
Патч afl-cov.patch
Патч добавляет возможность использования переменной окружения LD_PRELOAD для сбора покрытия кода.
diff --git a/afl-cov b/afl-cov index f021ffe..d58189f 100755 --- a/afl-cov +++ b/afl-cov @@ -878,7 +878,7 @@ def run_cmd( cmd = "timeout -s KILL %s %s" % (timeout, cmd) if aflrun is True and len(fn) > 0: - cmd = "cat " + fn + " | " + cmd + cmd = "cat " + fn + " | " + cargs.env + " " + cmd if cargs.verbose: if log_file: @@ -1548,6 +1548,9 @@ def parse_cmdline() -> argparse.Namespace: p.add_argument( "--afl-file", type=str, help="Filepath that is passed to AFL with -f argument", default="" ) + p.add_argument( + "--env", type=str, help="Set environment variable", default="" + ) return p.parse_args()
Сбор покрытия кода
/home/user/afl-cov/afl-cov -e "$HOME/buildroot-cov/bin/postgres -D $HOME/btrfs_data/data" -c $HOME/RPM/BUILD/postgresql16-16.4 -d $HOME/out -T 20 --coverage-at-exit --overwrite --env "LD_PRELOAD=/home/user/libdesock/build/libdesock.so"
Отчет о покрытии кода находится в каталоге $HOME/out/cov
Подготовка фаззинг-оберток
Здесь представлены несколько оберток в качестве примера. В качестве основы используются обертки из проекта oss-fuzz.
Фаззинг-обертка src/backend/fuzzer/raw_parser_fuzzer.c
Фаззинг-обертка для функции raw_parser (src/backend/parser/parser.c:42). Выполняет лексический и грамматический анализ sql запроса. Возвращает список необработанных (непроанализированных) деревьев анализа. В качестве входных данных используются тесткейсы из каталога src/test/regress/sql из исходного кода postgresql.
#include "postgres.h"
#include "mb/pg_wchar.h"
#include "utils/memutils.h"
#include "utils/memdebug.h"
#include "include/miscadmin.h"
#include "include/parser/parser.h"
#include <unistd.h>
#ifndef __AFL_FUZZ_TESTCASE_LEN
ssize_t fuzz_len;
#define __AFL_FUZZ_TESTCASE_LEN fuzz_len
unsigned char fuzz_buf[1024000];
#define __AFL_FUZZ_TESTCASE_BUF fuzz_buf
#define __AFL_FUZZ_INIT() void sync(void);
#define __AFL_LOOP(x) ((fuzz_len = read(0, fuzz_buf, sizeof(fuzz_buf))) > 0 ? 1 : 0)
#define __AFL_INIT() sync()
#endif
__AFL_FUZZ_INIT();
const char *progname = "raw_parser_fuzzer";
int
main(int argc, char **argv)
{
__AFL_INIT();
unsigned char *data = __AFL_FUZZ_TESTCASE_BUF;
while (__AFL_LOOP(1000)) {
int size = __AFL_FUZZ_TESTCASE_LEN;
sigjmp_buf local_sigjmp_buf;
char *buffer;
buffer = (char *) calloc(size+1, sizeof(char));
memcpy(buffer, data, size);
MemoryContextInit();
set_stack_base();
if(!sigsetjmp(local_sigjmp_buf,0)){
error_context_stack = NULL;
PG_exception_stack = &local_sigjmp_buf;
raw_parser(buffer, RAW_PARSE_DEFAULT);
}
free(buffer);
FlushErrorState();
MemoryContextReset(TopMemoryContext);
TopMemoryContext->ident = NULL;
TopMemoryContext->methods->delete_context(TopMemoryContext);
VALGRIND_DESTROY_MEMPOOL(TopMemoryContext);
}
return 0;
}
Фаззинг-обертка src/backend/fuzzer/json_in_fuzzer.c
Фаззинг-обертка для функции json_in (src/backend/utils/adt/json.c:124). Парсит входные данные на наличие json формата. Преобразует строку во внутреннюю форму. Функция может быть вызвана следующим sql запросом: “SELECT ‘{“abc”:1}’::json;”.
#include "postgres.h"
#include "mb/pg_wchar.h"
#include "utils/memutils.h"
#include "utils/memdebug.h"
#include "include/miscadmin.h"
#include <unistd.h>
#ifndef __AFL_FUZZ_TESTCASE_LEN
ssize_t fuzz_len;
#define __AFL_FUZZ_TESTCASE_LEN fuzz_len
unsigned char fuzz_buf[1024000];
#define __AFL_FUZZ_TESTCASE_BUF fuzz_buf
#define __AFL_FUZZ_INIT() void sync(void);
#define __AFL_LOOP(x) ((fuzz_len = read(0, fuzz_buf, sizeof(fuzz_buf))) > 0 ? 1 : 0)
#define __AFL_INIT() sync()
#endif
__AFL_FUZZ_INIT();
const char *progname = "json_in_fuzzer";
int
main(int argc, char **argv)
{
Oid functionId = 321; // 'json_in' function, src/backend/utils/fmgrtab.c
Oid typioparam = 114; // typname => 'json', src/include/catalog/pg_type.dat
int32 typmod = -1; // always -1
__AFL_INIT();
unsigned char *data = __AFL_FUZZ_TESTCASE_BUF;
while (__AFL_LOOP(1000)) {
int size = __AFL_FUZZ_TESTCASE_LEN;
sigjmp_buf local_sigjmp_buf;
char *buffer;
buffer = (char *) calloc(size+1, sizeof(char));
memcpy(buffer, data, size);
MemoryContextInit();
set_stack_base();
if(!sigsetjmp(local_sigjmp_buf,0)){
error_context_stack = NULL;
PG_exception_stack = &local_sigjmp_buf;
OidInputFunctionCall(functionId, buffer, typioparam, typmod); // call 'json_in' function
}
free(buffer);
FlushErrorState();
MemoryContextReset(TopMemoryContext);
TopMemoryContext->ident = NULL;
TopMemoryContext->methods->delete_context(TopMemoryContext);
VALGRIND_DESTROY_MEMPOOL(TopMemoryContext);
}
return 0;
}
Фаззинг-обертка src/backend/fuzzer/timestamp_in_fuzzer.c
Фаззинг-обертка для функции timestamp_in (src/backend/utils/adt/timestamp.c:148). Парсит входные данные на наличие даты и времени. Преобразует строку во внутреннюю форму. Может быть вызвана следующим sql запросом: “SELECT ‘4714-11-24 00:00:00 BC’::timestamp;”.
#include "postgres.h"
#include "mb/pg_wchar.h"
#include "utils/memutils.h"
#include "utils/memdebug.h"
#include "include/miscadmin.h"
#include <unistd.h>
#ifndef __AFL_FUZZ_TESTCASE_LEN
ssize_t fuzz_len;
#define __AFL_FUZZ_TESTCASE_LEN fuzz_len
unsigned char fuzz_buf[1024000];
#define __AFL_FUZZ_TESTCASE_BUF fuzz_buf
#define __AFL_FUZZ_INIT() void sync(void);
#define __AFL_LOOP(x) ((fuzz_len = read(0, fuzz_buf, sizeof(fuzz_buf))) > 0 ? 1 : 0)
#define __AFL_INIT() sync()
#endif
__AFL_FUZZ_INIT();
const char *progname = "timestamp_in_fuzzer";
int
main(int argc, char **argv)
{
pg_timezone_initialize();
Oid functionId = 1312; // 'timestamp_in' function, src/backend/utils/fmgrtab.c
Oid typioparam = 1114; // typname => 'timestamp', src/include/catalog/pg_type.dat
int32 typmod = -1; // always -1
__AFL_INIT();
unsigned char *data = __AFL_FUZZ_TESTCASE_BUF;
while (__AFL_LOOP(1)) { // low fuzzing stability so 1
int size = __AFL_FUZZ_TESTCASE_LEN;
sigjmp_buf local_sigjmp_buf;
char *buffer;
buffer = (char *) calloc(size+1, sizeof(char));
memcpy(buffer, data, size);
MemoryContextInit();
set_stack_base();
if(!sigsetjmp(local_sigjmp_buf,0)){
error_context_stack = NULL;
PG_exception_stack = &local_sigjmp_buf;
OidInputFunctionCall(functionId, buffer, typioparam, typmod); // call 'timestamp_in' function
}
free(buffer);
FlushErrorState();
MemoryContextReset(TopMemoryContext);
TopMemoryContext->ident = NULL;
TopMemoryContext->methods->delete_context(TopMemoryContext);
VALGRIND_DESTROY_MEMPOOL(TopMemoryContext);
}
return 0;
}
Фаззинг-обертка src/backend/fuzzer/array_in_fuzzer.c
Фаззинг-обертка для функции array_in (src/backend/utils/adt/arrayfuncs.c:176). Парсит входные данные на наличие массива. Конвертирует массив из внешнего string формата во внутренний формат. Используется массив с элементами формата text. Может быть вызвана следующим sql запросом: “select ‘{{{1,2,3,4},{2,3,4,5}},{{3,4,5,6},{4,5,6,7}}}’::text[];”.
#include "postgres.h"
#include "mb/pg_wchar.h"
#include "utils/memutils.h"
#include "utils/memdebug.h"
#include "include/miscadmin.h"
#include "include/fmgr.h"
#include "include/utils/array.h"
#include <unistd.h>
#ifndef __AFL_FUZZ_TESTCASE_LEN
ssize_t fuzz_len;
#define __AFL_FUZZ_TESTCASE_LEN fuzz_len
unsigned char fuzz_buf[1024000];
#define __AFL_FUZZ_TESTCASE_BUF fuzz_buf
#define __AFL_FUZZ_INIT() void sync(void);
#define __AFL_LOOP(x) ((fuzz_len = read(0, fuzz_buf, sizeof(fuzz_buf))) > 0 ? 1 : 0)
#define __AFL_INIT() sync()
#endif
__AFL_FUZZ_INIT();
const char *progname = "array_in_fuzzer";
int
main(int argc, char **argv)
{
Oid functionId = 750; // 'array_in' function, src/backend/utils/fmgrtab.c
Oid typioparam = 25; // typname => 'text', src/include/catalog/pg_type.dat
int32 typmod = -1; // always -1
__AFL_INIT();
unsigned char *data = __AFL_FUZZ_TESTCASE_BUF;
while (__AFL_LOOP(1000)) {
int size = __AFL_FUZZ_TESTCASE_LEN;
sigjmp_buf local_sigjmp_buf;
char *buffer;
buffer = (char *) calloc(size+1, sizeof(char));
memcpy(buffer, data, size);
MemoryContextInit();
set_stack_base();
if(!sigsetjmp(local_sigjmp_buf,0)){
error_context_stack = NULL;
PG_exception_stack = &local_sigjmp_buf;
FmgrInfo flinfo;
ArrayMetaState *my_extra;
fmgr_info(functionId, &flinfo);
flinfo.fn_extra = MemoryContextAlloc(flinfo.fn_mcxt,
sizeof(ArrayMetaState));
my_extra = (ArrayMetaState *) flinfo.fn_extra;
my_extra->element_type = typioparam;
my_extra->typlen = -1;
my_extra->typbyval = false;
my_extra->typalign = 'i';
my_extra->typdelim = ',';
my_extra->typioparam = 25; // typname => 'text', src/include/catalog/pg_type.dat
my_extra->typiofunc = 46;
fmgr_info_cxt(my_extra->typiofunc, &my_extra->proc,
flinfo.fn_mcxt);
InputFunctionCall(&flinfo, buffer, typioparam, typmod); // call 'array_in' function
}
free(buffer);
FlushErrorState();
MemoryContextReset(TopMemoryContext);
TopMemoryContext->ident = NULL;
TopMemoryContext->methods->delete_context(TopMemoryContext);
VALGRIND_DESTROY_MEMPOOL(TopMemoryContext);
}
return 0;
}
src/backend/fuzzer/Makefile
subdir = src/backend/fuzzer
top_builddir = ../../..
include $(top_builddir)/src/Makefile.global
subsysfilename = objfiles.txt
SUBDIROBJS = $(SUBDIRS:%=%/$(subsysfilename))
# make function to expand objfiles.txt contents
expand_subsys = $(foreach file,$(1),$(if $(filter %/objfiles.txt,$(file)),$(patsubst ../../src/backend/%,%,$(addprefix $(top_builddir)/,$(shell cat $(file)))),$(file)))
objfiles.txt: Makefile $(SUBDIROBJS) $(OBJS_FUZZERS)
# Don't rebuild the list if only the OBJS have changed.
$(if $(filter-out $(OBJS_FUZZERS),$?),( $(if $(SUBDIROBJS),cat $(SUBDIROBJS); )echo $(addprefix $(subdir)/,$(OBJS_FUZZERS)) ) >$@,touch $@)
SUBDIRS = ../access ../bootstrap ../catalog ../parser ../commands ../executor ../foreign ../lib ../libpq \
../main ../nodes ../optimizer ../partitioning ../port ../postmaster \
../regex ../replication ../rewrite ../backup \
../statistics ../storage ../tcop ../tsearch ../utils $(top_builddir)/src/timezone \
../jit ../archive
OBJS = \
$(LOCALOBJS) \
$(SUBDIROBJS) \
$(top_builddir)/src/common/libpgcommon_srv.a \
$(top_builddir)/src/port/libpgport_srv.a \
LIBS_FUZZER = -lz -ldl -lpthread -lrt -luuid -licui18n -licuuc -licudata
OBJS_FUZZERS = $(filter-out ../main/objfiles.txt, $(OBJS))
TARGETS = $(basename $(wildcard ./*.c))
fuzzer: $(TARGETS)
$(TARGETS): %: %.o $(OBJS_FUZZERS)
$(CXX) $(CFLAGS) $(call expand_subsys,$^) -o $@ $(LIBS_FUZZER)
%.o: %.c
$(CC) $(CFLAGS) $(CPPFLAGS) -c -o $@ $^ -I$(top_builddir)/src
В итоге каталог $HOME/RPM/BUILD/postgresql16-16.4/src/backend/fuzzer содержит следующие файлы:
Makefile
array_in_fuzzer.c
json_in_fuzzer.c
raw_parser_fuzzer.c
timestamp_in_fuzzer.c
Сборка фаззинг-оберток с инструментацией afl
cd $HOME/RPM/BUILD/postgresql16-16.4
make clean
./configure --prefix=$HOME/buildroot CC=afl-clang-lto CXX=afl-clang-lto++ LD=afl-clang-lto
make install
cd src/backend/fuzzer
make fuzzer
В итоге каталог $HOME/RPM/BUILD/postgresql16-16.4/src/backend/fuzzer содержит следующие исполняемые файлы:
array_in_fuzzer
json_in_fuzzer
raw_parser_fuzzer
timestamp_in_fuzzer
Запуск фаззинг-тестирования оберток
Запуск обертки raw_parser. Остальные обертки запускаются аналогично.
afl-fuzz -i $HOME/RPM/BUILD/postgresql16-16.4/src/test/regress/sql -o $HOME/out-raw_parser -t 5000 -- $HOME/RPM/BUILD/postgresql16-16.4/src/backend/fuzzer/raw_parser
Артефакты фаззинга находятся в каталоге $HOME/out-raw_parser.
Преимущество данного метода фаззинг-тестирования - высокая скорость фаззинга.
Недостаток - низкое покрытие кода.
Полный список внутренних функций, выполняющих преобразование из одного формата postgresql в другой, находится в файле src/backend/utils/fmgrtab.c:27 (файл генерируется при сборке).
Информация о типах данных postgresql, используемая в фаззинг-обертках, находится в файле src/include/catalog/pg_type.dat.
Покрытие кода фаззинг-тестированием оберток
Сборка фаззинг-оберток с инструментацией gcov
cd $HOME/RPM/BUILD/postgresql16-16.4
make clean
./configure --prefix=$HOME/buildroot-cov --enable-coverage
make install
cd src/backend/fuzzer
make fuzzer
Сбор покрытия кода
Запуск сбора покрытия кода для обертки raw_parser. Остальные обертки запускаются аналогично.
/home/user/afl-cov/afl-cov -e "$HOME/RPM/BUILD/postgresql16-16.4/src/backend/fuzzer/raw_parser" -c $HOME/RPM/BUILD/postgresql16-16.4 -d $HOME/out-raw_parser -T 5 --coverage-at-exit --overwrite
Отчет о покрытии кода находится в каталоге $HOME/out-raw_parser/cov
Автор: Евгений Горбанев