Definition

Fuzz-Testing (Fuzzing)

Fuzz-Testing oder Fuzzing ist eine Methode zum Testen von Software, mit der Programmierfehler und Sicherheitslöcher in Anwendungen, Betriebssystemen und Netzwerken entdeckt werden sollen. Ihre Eingabeschnittstellen werden dabei mit zufälligen Daten, genannt Fuzz, überflutet, um sie zum Abstürzen zu bringen. Wenn eine Schwachstelle gefunden wurde, kommt ein spezielles Tool, ein Fuzz-Tester oder Fuzzer, zum Einsatz, der die Ursachen für den Crash herausfinden soll. Fuzz-Testing wurde zuerst von Barton Miller an der University of Wisconsin im Jahr 1989 entwickelt.

Fuzzer-Tools funktionieren am besten bei Schwachstellen, die ein Programm zum Abstürzen bringen können, also beispielsweise bei Buffer-Overflows, Cross-Site-Scripting, DoS-Attacken (Denial of Service), Formatstring-Angriffen und SQL-Injection. Diese Mittel werden meist von böswilligen Hackern verwendet, die den größtmöglichen Schaden in der kleinstmöglichen Zeit verursachen wollen. Fuzz-Testing funktioniert weniger gut bei Sicherheitsbedrohungen, die keine Programmabstürze verursachen, also etwa bei Spyware sowie manchen Viren, Würmern, Trojanern und Keyloggern.

Fuzz-Testing ist einfach durchzuführen und bietet deswegen ein sehr gutes Kosten-Nutzen-Verhältnis. Die Technik entdeckt Fehler, die sonst oft übersehen werden, wenn Software entwickelt und geprüft wird. Nichtsdestotrotz findet Fuzz-Testing meist nur die schwerwiegendsten Bugs. Es ist damit aber nicht möglich, die Gesamtsicherheit, Qualität oder Tauglichkeit eines Programms in einer bestimmten Situation oder in einem bestimmten Anwendungsfall zu testen. Fuzz-Tester sind immer dann am effektivsten, wenn sie zusammen mit Black-Box- und Beta-Tests sowie anderen erprobten Prüfmethoden eingesetzt werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Diese Definition wurde zuletzt im August 2016 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

File Extensions and File Formats

Powered by:

ComputerWeekly.de

Close