Description:

System Software, Betriebssysteme und User Programme wie Web Browser bieten eine große Angriffsfläche für Laufzeitangriffe (Zero-Day Exploits), die Programmierfehler ausnutzen, um Schadoperationen auszuführen und IT-Systeme zu kompromittieren. Die zugrundeliegenden Programmierfehler sind oft in schlecht getesteten Teilen des Programms versteckt und treten oft nur in speziellen Grenzfällen auf. Durch die steigende Komplexität wird es immer schwieriger, Software manuell zu testen bzw. auf Schwachstellen zu prüfen. In den letzten Jahren hat sich Fuzzing als effektive Methode zum automatisierten Aufspüren von Schwachstellen etabliert. Beim Testen mittels Fuzzing werden durch probabilistische Algorithmen aus einer Menge von legitimen Inputs neue Inputs generiert, die dann Schwachstellen in schlecht getesteten Teilen des Programms auslösen. Die Forschung im Fuzzing Bereich hat viele optimierte Fuzzer entwickelt welche diesen Prozess effektiver machen sollen. Ziel dieser PG ist die Entwicklung eines Fuzzing Framework, welches verschiedene Fuzzer schnell auf einen bestehenden Testkorpus starten und evaluieren kann. Das Framework soll insbesondere dazu genutzt werden, um die Effektivität von unterschiedlichen Fuzzern zu evaluieren. Dabei sollen sowohl bereits bekannte wie auch neue Schwachstellen mittels Fuzzing gefunden werden.

Folien der PG Themenvorstellung: hier

Learning Targets:

• Anwenden von State-of-the-Art Fuzzing Methoden für Vulnerability Discovery
• Wissenschaftliche Evaluation und Vergleich der Fuzzer
• Wissenschaftliches Arbeiten und Schreiben