@article{Pohl2011,
  author    = {Hartmut Pohl},
  title     = {Fuzzelarbeit: Identifizierung unbekannter Sicherheitsl{\"u}cken und Software-Fehler durch Fuzzing},
  series   = {KES : die Zeitschrift f{\"u}r Informations-Sicherheit},
  volume    = {27},
  number    = {5},
  issn      = {1611-440X},
  pages     = {66 -- 68},
  year      = {2011},
  abstract  = {Fuzzing als toolgest{\"u}tzte Identifizierung von Sicherheitsl{\"u}cken wird in der Regel im letzten Stadium der Softwareentwicklung zum Einsatz kommen. Es eignet sich zur Suche nach Sicherheitsl{\"u}cken in jeder Art Software. Die Robustheit der untersuchten Zielsoftware wird beim Fuzzing mit zielgerichteten, unvorhergesehenen Eingabedaten {\"u}berpr{\"u}ft. Der Fuzzing-Prozess wird im Artikel beschrieben, ebenso die Taxometrie von Fuzzern, die in \"dumme\" und \"intelligente\" Fuzzer eingeteilt werden. Die Identifizierung von Sicherheitsl{\"u}cken oder Fehlern in der Zielsoftware erfolgt durch ein umfassendes Monitoring (Debugger, Profiler, Tracker). Die meist gro{\"s}e Zahl identifizierter Schwachstellen und Verwundbarkeiten macht eine Bewertung jeder einzelnen erforderlich, weil in der Regel aus Wirtschaftlichkeitsgr{\"u}nden nicht alle behoben werden k{\"o}nnen. Als wichtige Bewertungsparameter werden genannt: Erkennbarkeit f{\"u}r Dritte, Reproduzierbarkeit, Ausnutzbarkeit, ben{\"o}tigte Zugriffsrechte und generierbarer Schaden. Im Internet werden etwa 300 Tools angeboten. Die Qualit{\"a}t eines Fuzzers l{\"a}sst sich jedoch nicht pauschal angeben. Die Wirksamkeit und Eignung eines Fuzzers h{\"a}ngen von der Zielsoftware und den individuellen Anforderungen des Testers ab.},
  language  = {de}
}