Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)
-   -   Filefuzz und Fuzzer (https://www.delphipraxis.net/86598-filefuzz-und-fuzzer.html)

gabneo 16. Feb 2007 00:50
Filefuzz und Fuzzer
 
Halloo coders,

ich hab da mal so eine frage :?: und hoffe ich poste den Thread im richtigen Thema. Auf jeden Fall sind mir letztens Infos über die sogenannten "Fuzzer" über den Weg gelaufen. Seit dem Artikel auf Heise den ich nicht so ganz verstanden hab, bin ich brennend daran interessiert. Nun würde ich gerne mehr über die Funktionsweise von Fuzzing tools erfahren.

Also wie funktionieren diese Fuzzing tools (vielleicht ein bischen anfänger gerecht :wink: )?
Lassen sich Fuzzing tools nur auf webanwendungen anwenden? (pfui Grammatik)
Falls es geht, wie können mir als Delphi Entwickler Fuzzing-tools bei der Arbeit helfen?


Nun es wäre supi wenn mir jemand von euch helfen könnte.
Danke an delphipraxis.net und die lebhafte Community! :dp:

greez
gabneo

PS: Ich benutze derzeit FileFuzz

Ghostwalker 16. Feb 2007 08:05
Re: Filefuzz und Fuzzer
 
Hi,

also, nachdem ich mir den Artikel durchgelesen habe, ziehe ich mal folgende Schlüsse:

a) Fuzzing-Tools generieren Zufallsdaten, füllt z.B. ein Formular damit aus. Ziel ist es
das Programm bzw. die Website, zu dem das Formular gehört, durch falsche Daten zum Absturz zu
bringen.

b) Das ganze läßt sich sowohl auf "normale" Programme als auch auf Webanwendungen durchführen.

c) Solche Tools können dir helfen, Fehler in deinem Programm zu entdecken und es sicherer zu machen.


Hoffe das hilft dir weiter :)

Mavarik 16. Feb 2007 08:48
Re: Filefuzz und Fuzzer
 
Hallo!

Ja das ist immer so eine Frage: "Worauf kann oder will ich mich verlassen"

Beispiel: Deine Eingabe verhindern, dass ein String länger ist als 30 Zeichen...
Hinter dem String steht ein Pointer für einen Event/Call/Procedure

Wenn Du jetzt davon aussgehst, dass Deine Eingabeprocedure das abfängst, testest Du i.d.R. die länge des Strings nicht mehr
in der Record Zuweisung ab. (Solle man aber)

Wenn es jetzt einer schafft, den String mit mehr als 30 Zeichen zu belegen und deiner Speicherroutine unter zu jubeln,
Wir Dein System crashen oder schlimmeres...

Frank :coder:

gabneo 16. Feb 2007 10:30
Re: Filefuzz und Fuzzer
 
@Mavarik
thx für das Beispiel. Das habe ich dann soweit verstanden :o

@ all
Also beeinflußt der Fuzzer alle möglichen "Module" meiner Application und das zur Laufzeit?!
Wie arbeitet der Fuzzer mit meiner anwendung, bzw. wie kommt er an das Fenster?

Viiiieeelen Dank!
greez
gabneo

Mavarik 16. Feb 2007 10:58
Re: Filefuzz und Fuzzer
 
Zitat:
Zitat von gabneo
@ all
Also beeinflußt der Fuzzer alle möglichen "Module" meiner Application und das zur Laufzeit?!
Wie arbeitet der Fuzzer mit meiner anwendung, bzw. wie kommt er an das Fenster?
Nein, so wich ich das verstanden habe nicht... Es werden "nur" Daten manipliert...

Frank :gruebel:

gabneo 16. Feb 2007 15:50
Re: Filefuzz und Fuzzer
 
Hmm,

nachdem ich mir das tool genau angeschaut habe, kann ich nur bestätigen was du sagst. Er scheint die Application durch Veränderung von Hex werten zu manipulieren.
Also ganz verstehen tue ich das noch nicht (naja bin mit der Materie insgesammt noch nicht so vertraut :-D ).

Ich denke den Großen Hype den Fuzzing tools in der PHP/HTML usw. scene erleben wird für normale Anwendungen die z.b. lediglich einen FTP client beinhalten nicht interessant sein. Für einen selber gebastelten Browser wäre allerdings das prüfen der anwendung über Fuzzing äußerst hilfreich.

Also dann sage ich erstmal herzlichen Dank.
greez
gabneo

PS: bis zur nächsten Frage^^


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:34 Uhr.

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz