Literaturstudie zum Thema Fuzzing
Fuzzing ist ein automatisiertes Verfahren für den Software-Test, um Zuverlässigkeitsprobleme und Sicherheitslücken zu finden. Das Testobjekt wird dabei mit Zufallsdaten stimuliert. Das können normale, aber auch unzulässige Daten sein. Kontrolliert wird, ob unnormale Reaktionen (Abstürze) auftreten. Nach Angaben in der Literatur lassen sich auf diese Weise für fast jedes Programm Eingaben finden, bei denen das System versagt.
Ziel
Ziele der Literaturstudie sind u.a.,
- Erfahrungsberichte zu sammeln und kritisch zu sichten, die die Nützlichkeit des Verfahrens belegen,
- zusammenzustellen, für welche Software-Architekturen das Verfahren einsetzbar ist bzw. bereits eingesetzt wurde,
- Regeln des prüfgerechten Entwurfs, die für das Verfahren Voraussetzung sind bzw. die die Fehlererkennung verbessern, zusammenzustellen
- Aussagen zu extrahieren, aus denen auf die Größenordnung der Nachweiswahrscheinlichkeiten der Fehler geschlossen werden kann, die laut Literatur mit den Standardverfahren nicht, aber mit diesem Verfahren gefunden wurden, und
- Vorschläge und Pläne für eigene Experimente zur Überprüfung der Aussagen aus der Literatur zu erarbeiten.
Hauptziel ist eine fundierte Studie. Wenn es der Zeitrahmen erlaubt, ist die Durchführung eigener Experimente und die Untermauerung der Studie mit eigenen Ergebnissen natürlich sehr wünschenswert.
Literatur
- Takan, Demott, Miller: Fuzzing for Software Security Testing and Quality Assurance. Artech House Inc. 2008.
- Sutton, Greene, Amini: Fuzzing: Brute Force Vulnerability
- Glerum et al.: Debugging in the (Very) Large: Ten Years of Implementation and Experience.
- [Weitere Literaturstellen]