• search hit 1 of 1
Back to Result List

Fuzzelarbeit: Identifizierung unbekannter Sicherheitslücken und Software-Fehler durch Fuzzing

  • Fuzzing als toolgestützte Identifizierung von Sicherheitslücken wird in der Regel im letzten Stadium der Softwareentwicklung zum Einsatz kommen. Es eignet sich zur Suche nach Sicherheitslücken in jeder Art Software. Die Robustheit der untersuchten Zielsoftware wird beim Fuzzing mit zielgerichteten, unvorhergesehenen Eingabedaten überprüft. Der Fuzzing-Prozess wird im Artikel beschrieben, ebenso die Taxometrie von Fuzzern, die in "dumme" und "intelligente" Fuzzer eingeteilt werden. Die Identifizierung von Sicherheitslücken oder Fehlern in der Zielsoftware erfolgt durch ein umfassendes Monitoring (Debugger, Profiler, Tracker). Die meist große Zahl identifizierter Schwachstellen und Verwundbarkeiten macht eine Bewertung jeder einzelnen erforderlich, weil in der Regel aus Wirtschaftlichkeitsgründen nicht alle behoben werden können. Als wichtige Bewertungsparameter werden genannt: Erkennbarkeit für Dritte, Reproduzierbarkeit, Ausnutzbarkeit, benötigte Zugriffsrechte und generierbarer Schaden. Im Internet werden etwa 300 Tools angeboten. Die Qualität eines Fuzzers lässt sich jedoch nicht pauschal angeben. Die Wirksamkeit und Eignung eines Fuzzers hängen von der Zielsoftware und den individuellen Anforderungen des Testers ab.

Export metadata

Additional Services

Share in Twitter Search Google Scholar Availability
Metadaten
Document Type:Article
Language:German
Author:Hartmut Pohl
Parent Title (German):KES : die Zeitschrift für Informations-Sicherheit
Volume:27
Issue:5
First Page:66
Last Page:68
ISSN:1611-440X
Publication year:2011
Tag:Bewertung; Monitoring; Programmsicherheit; Sicherheitslücke; Software-Fehler; Software-Test; Software-Testautomatisierung; Software-Werkzeug; Stabilitätsanalyse; Taxonomie
Departments, institutes and facilities:Fachbereich Informatik
Dewey Decimal Classification (DDC):0 Informatik, Informationswissenschaft, allgemeine Werke / 00 Informatik, Wissen, Systeme / 004 Datenverarbeitung; Informatik
Entry in this database:2015/04/02