:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/8c/54/8c54744c036ec61da10210ccedac6e6f/0115622026.jpeg "Automatisierte Sicherheit gehört für viele Unternehmen schon dazu, berichtet Synopsys. (Bild: PandaStockArt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/3a/86/3a861660380c36be8f5c30437efc7f0c/0115482665.jpeg "Visual Studio Code lässt sich als ein Flatpak von Flathub beziehen und auf einer beliebigen unterstützen Distribution mit einem simplen Befehl einrichten. (Bild: Flathub.org / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Definition „Fuzzing“ Was ist Fuzz Testing?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Die Suche nach Bugs verläuft meistens geordnet. Fuzz Testing hingegen zeichnet sich durch das Hinzufügen zufälliger Datensätze aus. Auf diesem Weg können Fehler entdeckt werden, die herkömmlichen Testmechanismen verborgen bleiben.
In der IT gehört ein Entstehungsmythos nicht unbedingt zu den Grundvoraussetzungen wohl implementierter Methoden. Dennoch gibt es für das sogenannte Fuzz Testing eine ganz klare Entstehungsgeschichte.
Ende der 1980er benutzte Barton Miller, Professor der Computerwissenschaften in Madison, Wisconsin, eine Festnetzverbindung, um von zuhause aus an seinem Unix-Terminal an der Universität zu arbeiten. Während eines Gewitters kamen die Signale nicht wie erwartet durch die Leitung und die Software erhielt zwischen Blitz und Donner quasi zufällige Eingaben. Selbst robuste Programme brachen ob der zufälligen Inputs zusammen, zu Millers größter Überraschung.
Diese Erfahrung destillierten Miller und seine Studierenden zu einem Testverfahren, dem sogenannten Fuzzing oder Fuzz Testing. Über zufällige, unstrukturierte Dateneingaben wurde und wird die Stabilität eines Programms getestet, wenn die User-Eingaben bestimmte Schemata verlassen. Noch heute erfreut der Prozess sich in der Softwareentwicklung einiger Beliebtheit, ist jedoch nicht frei von Schwierigkeiten.
Die Vorteile von Fuzz Testing
Wenn Programme nur entlang ihrer Grenzen getestet werden, können Sicherheitslücken weiterhin bestehen. Ein Fehler, der durch eine unerwartete Eingabe entsteht, ist eine potentielle Sicherheitslücke, die jederzeit ausgenutzt werden könnte.
Tatsächlich nutzen Hacker und Cyberkriminelle Fuzz Testing und ähnliche Methoden häufiger, um Schwachstellen in Systemen ausfindig zu machen. Entsprechend sollten auch Softwareentwickler*innen Fuzzing in ihren Testkreislauf integrieren, um auch unter Belastungen Schwachstellen in ihren Programmen ausfindig zu machen.
Fuzz Testing hat sich in der Praxis als besonders geeignet erwiesen, um schwerere Sicherheitslücken ausfindig zu machen. Die besten Ergebnisse liefert die Fuzzing-Methode im Zusammenspiel mit Black Box Testing oder im Rahmen eines Beta-Tests. Gerade weil Cyberkriminelle in der Praxis häufig ähnliche Methoden anwenden, sollten Programmierer*innen diesen durch intensives Fuzz Testing zuvorkommen. Allerdings liegt ein großer Nachteil des Fuzzing in den Kosten.
Zwar ist Fuzz Testing prinzipiell – wie bei Millers Gewitter – auch durch die Verwendung komplett zufallsgenerierter Eingaben möglich. Allerdings lassen sich dadurch kaum die wahrscheinlichsten Schwächen eines Systems ausmachen. Tendenziell gibt es eine unendliche Zahl zufälliger Eingaben, doch um diese auf einen begrenzten Testzeitraum zu kondensieren, erfordert Fuzz Testing etwas mehr manuelles Geschick auf Seite der Developer.
So funktioniert Fuzz Testing in der Praxis
Die praktische Anwendung von Fuzzing erfolgt entlang von vier, leicht zu wiederholenden Schritten.
- 1. Zunächst wird eine korrekte Input-Datei vorbereitet und geöffnet.
- 2. Im zweiten Schritt wird ein beliebiger Teil der Datei durch zufällige Daten ausgetauscht und …
- 3. … anschließend durch das Programm geöffnet.
- 4. Schließlich müssen Developer festhalten, welcher Teil des Systems nachgegeben hat.
Dieser letzte Teil kann recht arbeitsaufwendig sein, in vielen Fällen ist der einfachste Weg, um Passes und Fails zu verzeichnen. Teile des Fuzz Tests können beispielsweise händisch in Perl oder AppleScript geschrieben werden.
Unterschiedliche Varianten von Fuzzern
Programme, die automatisches Fuzzing ermöglichen, werden Fuzzer genannt. Diese basieren typischerweise auf drei unterschiedlichen Methodiken:
- Mutation-based Fuzzers: Hierbei werden korrekte Datensätze verändert, um neue Testdaten zu generieren. Einzelne Dateien oder Bits werden hierbei angepasst und verändert und automatisiert Protokolle von zufällig erzeugten Fehlern angelegt.
- Generation-based Fuzzers: Dieses Modell greift nicht auf korrekte Datensätze zurück, sondern legt stattdessen anhand der Inputvorgaben generierte Inputs an. Jede Eingabe wird vom Fuzzer komplett neu geschrieben.
- Protocol-based Fuzzers: Die effizientesten Fuzzer finden sich in protokollbasierten Fuzzern. Die Voraussetzung für Funktionalität ist in diesem Falle, dass Programmierer*innen Syntax-, Grammatik- oder Robustheitstests als Grundlage für eine modellbasierte Testgenerierung nutzen können. Protokollbasierte Fuzzer benötigen tiefere Kenntnisse des zu testenden Protokollformates und erfordern ausgereifte Spezifikationen.
Für Programmierer*innen stehen unterschiedliche Fuzzer Tools zur Verfügung wie beispielsweise Peach Fuzzer, das in Java geschriebene Webscarab, Spike Proxy oder OWASP WSFuzzer oder das Open-Source-Projekt American Fuzzy Loop.
Fuzz Testing als Teil des Testzyklus
Fuzz Testing hat sich als besonders effiziente Ergänzung in Sicherheitstests erwiesen, um Memory Leaks und Assertion Failures ausfindig zu machen oder auf falsche Eingaben zu prüfen. Vor allem in C und C++ ist das Speichermanagement aufgrund der manuellen Kontrolle über Speicher eine systemkritische Stelle und verdient in Sicherheitstests eine entsprechende Beachtung.
Trotz der benötigten Expertise, des zeitlichen und finanziellen Aufwands ist eine Beschäftigung mit Fuzz Testing also durchaus angeraten, sollte jedoch immer nur als Teil einer umfassenden Sicherheitsprüfung begriffen werden. Der Name übrigens leitet sich vom englischen Begriff „fuzzy“ her, der übersetzt so viel wie „unklar, verschwommen“ bedeutet und bereits ein klares Indiz für die Methodik des Fuzz Testing gibt.
(ID:47142578)
:quality(80)/p7i.vogel.de/wcms/12/39/1239a27b0274a0ff7d7377c9f4fb6d4b/0111267837.jpeg "Programmablaufplan und Struktogramm helfen dabei, die Programmlogik zu veranschaulichen. (Bild: <a href=https://pixabay.com/users/startupstockphotos-690514/>StartupStockPhotos</a>)")
:quality(80)/p7i.vogel.de/wcms/19/ac/19acf911008ff46c9869120d358d7abf/0114999603.jpeg "Der TrustInSoft Analyzer fügt dem Fuzzing-Prozess eine formale Verifizierung hinzu, so dass er laut Hersteller Probleme erkennt, die beim traditionellen Fuzzing nicht auftreten. (Bild: <a href=https://pixabay.com/users/thedigitalartist-202249/>Pete Linforth</a>)")