Fuzzing ist eine wichtige Technik zum Auffinden von Schwachstellen in Produkten oder Third-Party Libraries. Diese Technik reicht vom einfachen Starten der Applikation mit zufälligen Eingaben über die Entwicklung von komplizierten Protokoll-Fuzzern bis hin zu schlauen Varianten, die über Feedback den Fuzzer das Protokoll bzw. das Binärformat erlernen lassen. Manche dieser Techniken sind für bestimmte Anwendungsfälle besser geeignet als andere.
Ziel des Vortrags ist, bekannte Fuzzing-Techniken zusammen mit deren Einsatzzweck zu erläutern sowie Tipps und Tricks zu geben, wie die Fuzzing-Ergebnisse erheblich verbessert werden können.
Vorkenntnisse
Prinzipiell werden keine Vorkenntnisse benötigt. Für das Verstehen einiger Szenarien sind allerdings Grundkentnisse in C/C++ von Vorteil.
Lernziele
* Wie integriert man Fuzzing als wichtigen Bestandteil im Software Development Lifecycle?
* Welche Arten von Fuzzing gibt es? Wie wählt man die richtige Fuzzing Technik für seine Software aus?
* Wie erhöht man die Wahrscheinlichkeit, beim Fuzzing Schwachstellen zu identifizieren?
* Tipps and Tricks beim Fuzzing
* Pitfalls beim Fuzzing
//
René Freingruber
@ReneFreingruber
arbeitet seit mehreren Jahren als professioneller Security Consultant bei SEC Consult. Er betreibt Forschung in den Gebieten Malware-Analyse, Reverse Engineering sowie Exploit Entwicklung. Darüber hinaus analysiert er moderne Schutzmechanismen und wie diese von Angreifern umgangen werden können.