XML解析器的模糊测试

• untidy。该项目似乎没有在积极开发，最后一次更新是在2007年。（该项目已不再在Sourceforge上提供，有关部分内容请参见archive.org，下载请参见packetstorm。它曾被添加到Peach-1.0中，但在Peach-3.1 Community Edition源代码中已经完全消失）。
• Fuzzware。似乎对基于XSD的模糊测试有良好的支持。
• Peach。Peach模糊测试工具将帮助您生成有效的XML文件，但如果您想模糊解析器而不是使用解析器的应用程序，则可能没有太大帮助。它值得一试，但请注意，如果您不了解XML中的各种结构，则创建数据模型可能是一个繁琐的过程。相关项目HotFuzz在这里也值得一提。
• JBroFuzz。该项目正在积极开发中。我找不到任何描述其XML（和SOAP）模糊测试能力的教程。您可能会受益于它可以单独用作模糊测试库的事实。
• Codenomicon Defensics for XML。这是一个商业模糊测试工具。免责声明：我曾经评估过Defensics，并发现它适用于各种目的。可以使用各种技术对XML解析器进行模糊测试-您可以将由模糊测试工具生成的文件或发出HTTP请求等。请记住，如果您需要模糊测试应用程序而不是解析器，则必须使用不同的方法； Defensics将帮助选择您想要的各种输入类别，以便您可以针对解析器、应用程序或两者进行定位。

这可能是你认为的“垃圾生成器”，但我还是要求你检查一下。

Radamsa 来自奥卢大学安全编程小组，是一个免费的通用模糊测试工具。你可以很容易地使用它进行模糊测试。给它一些示例文件，Radamsa就会为你生成模糊文件。

包含的不同模糊测试工具可以从简单的位翻转到复杂的结构学习和模糊测试。

代码可以在Google Code中找到。

American Fuzzy Lop 可能是一个不错的选择。它使用遗传算法来学习如何诱导程序中的新代码路径，并生成最大化覆盖率的测试用例。