Halloo coders,

ich hab da mal so eine frage und hoffe ich poste den Thread im richtigen Thema. Auf jeden Fall sind mir letztens Infos über die sogenannten "Fuzzer" über den Weg gelaufen. Seit dem Artikel auf Heise den ich nicht so ganz verstanden hab, bin ich brennend daran interessiert. Nun würde ich gerne mehr über die Funktionsweise von Fuzzing tools erfahren.

Also wie funktionieren diese Fuzzing tools (vielleicht ein bischen anfänger gerecht )?
Lassen sich Fuzzing tools nur auf webanwendungen anwenden? (pfui Grammatik)
Falls es geht, wie können mir als Delphi Entwickler Fuzzing-tools bei der Arbeit helfen?


Nun es wäre supi wenn mir jemand von euch helfen könnte.
Danke an delphipraxis.net und die lebhafte Community!

greez
gabneo

PS: Ich benutze derzeit FileFuzz

Hi,

also, nachdem ich mir den Artikel durchgelesen habe, ziehe ich mal folgende Schlüsse:

a) Fuzzing-Tools generieren Zufallsdaten, füllt z.B. ein Formular damit aus. Ziel ist es
das Programm bzw. die Website, zu dem das Formular gehört, durch falsche Daten zum Absturz zu
bringen.

b) Das ganze läßt sich sowohl auf "normale" Programme als auch auf Webanwendungen durchführen.

c) Solche Tools können dir helfen, Fehler in deinem Programm zu entdecken und es sicherer zu machen.


Hoffe das hilft dir weiter

Hallo!

Ja das ist immer so eine Frage: "Worauf kann oder will ich mich verlassen"

Beispiel: Deine Eingabe verhindern, dass ein String länger ist als 30 Zeichen...
Hinter dem String steht ein Pointer für einen Event/Call/Procedure

Wenn Du jetzt davon aussgehst, dass Deine Eingabeprocedure das abfängst, testest Du i.d.R. die länge des Strings nicht mehr
in der Record Zuweisung ab. (Solle man aber)

Wenn es jetzt einer schafft, den String mit mehr als 30 Zeichen zu belegen und deiner Speicherroutine unter zu jubeln,
Wir Dein System crashen oder schlimmeres...

Frank

@Mavarik
thx für das Beispiel. Das habe ich dann soweit verstanden

@ all
Also beeinflußt der Fuzzer alle möglichen "Module" meiner Application und das zur Laufzeit?!
Wie arbeitet der Fuzzer mit meiner anwendung, bzw. wie kommt er an das Fenster?

Viiiieeelen Dank!
greez
gabneo

Nein, so wich ich das verstanden habe nicht... Es werden "nur" Daten manipliert...

Frank

Hmm,

nachdem ich mir das tool genau angeschaut habe, kann ich nur bestätigen was du sagst. Er scheint die Application durch Veränderung von Hex werten zu manipulieren.
Also ganz verstehen tue ich das noch nicht (naja bin mit der Materie insgesammt noch nicht so vertraut ).

Ich denke den Großen Hype den Fuzzing tools in der PHP/HTML usw. scene erleben wird für normale Anwendungen die z.b. lediglich einen FTP client beinhalten nicht interessant sein. Für einen selber gebastelten Browser wäre allerdings das prüfen der anwendung über Fuzzing äußerst hilfreich.

Also dann sage ich erstmal herzlichen Dank.
greez
gabneo

PS: bis zur nächsten Frage^^