Jeden Tag eine App
…
continue reading
Inhalt bereitgestellt von Nico Kreiling. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von Nico Kreiling oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.
Ähnelt Techtiefen
Jeden Samstag das Neueste aus Computertechnik und Informationstechnologie. Beiträge, Reportagen und Interviews zu IT-Sicherheit, Informatik, Datenschutz, Smartphones, Cloud-Computing und IT-Politik. Die Trends der IT werden kompakt und informativ zusammengefasst.
…
continue reading
Neue Produkte und Trends aus Computertechnik und Telekommunikation: Was bringen uns die neuen Technologien? Was gibt es Spannendes im Netz? Eine Orientierung im Dschungel der Bits und Bytes. "Das Computermagazin" - Ein gemeinsames Magazin der Redaktionen Wissenschaft, Wirtschaft und Zündfunk.
…
continue reading
Menschen! Technik! Sensationen!
…
continue reading
Jeden Samstag das Neueste aus Computertechnik und Informationstechnologie. Beiträge, Reportagen und Interviews zu IT-Sicherheit, Informatik, Datenschutz, Smartphones, Cloud-Computing und IT-Politik. Die Trends der IT werden kompakt und informativ zusammengefasst.
…
continue reading
In dieser Serie diskutieren wir interessante Themen aus Software-Entwicklung und -Architektur – immer mit dem Fokus auf Praxistauglichkeit.
…
continue reading
Der abwechslungsreichste Spiele-Podcast der Welt. Mit Anne, Micha, Manu, Nina und illustren Gästen aus der Videospielbranche. Meinungen, Interviews und Croissants.
…
continue reading
Helden der Computerspiele-Berichterstattung plaudern über historische und aktuelle Themen
…
continue reading
Immer donnerstags live um 17 Uhr sprechen Anna Kalinowsky, Malte Kirchner und Volker Zota von heise online bei YouTube über die Tech-Themen der Woche. Zum Nachhören gibt es die #heiseshow auch als Podcast.
…
continue reading
1
Zurück zur Zukunft - Tech-News und Business Models
Zurück zur Zukunft - Tech-News und Business Models
Nicht nostalgisch an Vergangenem kleben, sondern optimistisch die Zukunft gestalten: Zurück zur Zukunft! Denn: Institutionen werden immer versuchen, die Probleme zu erhalten, für die sie die Lösung sind (Clay Shirky). Wir fassen daher seit 2019 jede Woche die wichtigsten Entwicklungen im technologischen Umfeld zusammen und ordnen ihre Konsequenzen für Unternehmen und die Gesellschaft ein. Jeden Dienstag neu! Als Unternehmer aus Berlin befassen wir uns seit 1995 intensiv mit dem Internet und ...
…
continue reading
Player FM - Podcast-App
Gehen Sie mit der App Player FM offline!
Gehen Sie mit der App Player FM offline!
))
#30 Fuzzing
Manage episode 271153069 series 2300648
Inhalt bereitgestellt von Nico Kreiling. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von Nico Kreiling oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.
Fuzz Testing (Fuzzing) ist eine dynamische Code-Analyse-Methodik, um absichtlich ungültige oder nicht erwartete Daten an ein lauffähiges Programm zu schicken mit der Hoffnung einen Fehlerfall oder Absturz zu produzieren. Das ist es damit hochwertigeren und fehlerfreien Software Code zu erzeugen. Anders als bei Unit-Tests werden beim Fuzz Testing Testfälle nicht manuell definiert, sondern von verschiedenen Mutationsalgorithmen zufällig und verhaltensbasiert erzeugt. Durch eine hohe Anzahl der so generierten Tests wird das Programm auch auf außergewöhnliche Eingabeparameter getestet, welche häufig Sicherheitsschwachstellen darstellen und daher Angreifern genutzt werden.
Mit Sergej Dechand rede ich über fehlerfreien und somit sicheren Softwarecode und welche Arten von Code-Analyse dazu wie beitragen können. Er erzählt von der Entwicklung des Fuzz Testing, welche bereits bei zufällig gewählten Lochkarten ihren Ursprung hat, zwischenzeitlich an Bedeutung verlor, derzeit aber sehr große Erfolge vorweisen kann. Dies liegt zum einen an technischen Weiterentwicklungen hin zu intelligenterem Fuzzing wie etwa durch AFL, welches das rein zufällige Fuzzing mit Kombination aus Instrumentierung und genetischen Algorithmen intelligenter macht. Fuzzing-Initiativen der großen Tech-Player wie z.B. OSS-Fuzz sorgen für Aufsehen, da sie immense Mengen bisher unerkannter Sicherheitslücken in Open Source-Software automatisiert aufdeckt. Sergej erklärt darüber hinaus auch, wie Fuzzing am besten instrumentiert wird, wohin die aktuelle Forschung zielt und wo derzeit die größten Probleme in der Umsetzung liegen.
Sergej ist Mitgründer von Code Intelligence, welches an einer Software Testing Plattform arbeitet mit der Vision Softwareentwicklern einen einfacheren Einstieg in moderne Testingmethoden u.A. modernes Fuzzing zu ermöglichen.
Links:
- Fuzzingbook: Thx to Christial Holler und Prof. Andreas Zeller das Buch für Studenten und interessierte
- Analysis-Tools Plattform: Auflistung und Bewertung zahlreicher Tools zur Code-Analyse.
- Code-Integlligence Blog Allgemeine Erklärung wie modernes Fuzzing funktioniert
- Publikationen von Sergej, Cornelius und Thorsten
- FuzzCon Hier gibt es nächste Woche viele Vorträge zu dem Thema
- AFL war der erste „moderne“ Fuzzer, AFL++ wird gut weitergepflegt, hier haben wir einige Patches beigetragen und nutzen es gerne
- Ein high-level Artikel bei Heise
- LibFuzzer: Der beste Fuzzer für C/C++ als Teil von Clang
- ClusterFuzz wenn man die Zeit hat, kann man das beim eigenen integrieren
Kapitel
1. Zu Gast: Sergej Dechand (00:01:19)
2. Fragen (00:05:29)
3. Statische Code-Analyse (00:08:11)
4. Dynamische Code Analyse (00:17:24)
5. Entwicklung von Fuzzy Testing (00:21:52)
6. White-/Grey-/Blackbox Fuzzing (00:34:49)
7. AFL (00:46:38)
8. Heartbleed (00:50:31)
9. Bug Detektoren und Red Zones (00:52:48)
10. DevSecOps (01:11:05)
11. Fuzzy Testing Ausblick (01:15:59)
12. Aktuelle Forschung im Bereich Fuzzing (01:19:05)
13. FuzzCon (01:23:14)
14. Links und Empfehlungen (01:25:56)
43 Episoden
Teilen
Manage episode 271153069 series 2300648
Inhalt bereitgestellt von Nico Kreiling. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von Nico Kreiling oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.
Fuzz Testing (Fuzzing) ist eine dynamische Code-Analyse-Methodik, um absichtlich ungültige oder nicht erwartete Daten an ein lauffähiges Programm zu schicken mit der Hoffnung einen Fehlerfall oder Absturz zu produzieren. Das ist es damit hochwertigeren und fehlerfreien Software Code zu erzeugen. Anders als bei Unit-Tests werden beim Fuzz Testing Testfälle nicht manuell definiert, sondern von verschiedenen Mutationsalgorithmen zufällig und verhaltensbasiert erzeugt. Durch eine hohe Anzahl der so generierten Tests wird das Programm auch auf außergewöhnliche Eingabeparameter getestet, welche häufig Sicherheitsschwachstellen darstellen und daher Angreifern genutzt werden.
Mit Sergej Dechand rede ich über fehlerfreien und somit sicheren Softwarecode und welche Arten von Code-Analyse dazu wie beitragen können. Er erzählt von der Entwicklung des Fuzz Testing, welche bereits bei zufällig gewählten Lochkarten ihren Ursprung hat, zwischenzeitlich an Bedeutung verlor, derzeit aber sehr große Erfolge vorweisen kann. Dies liegt zum einen an technischen Weiterentwicklungen hin zu intelligenterem Fuzzing wie etwa durch AFL, welches das rein zufällige Fuzzing mit Kombination aus Instrumentierung und genetischen Algorithmen intelligenter macht. Fuzzing-Initiativen der großen Tech-Player wie z.B. OSS-Fuzz sorgen für Aufsehen, da sie immense Mengen bisher unerkannter Sicherheitslücken in Open Source-Software automatisiert aufdeckt. Sergej erklärt darüber hinaus auch, wie Fuzzing am besten instrumentiert wird, wohin die aktuelle Forschung zielt und wo derzeit die größten Probleme in der Umsetzung liegen.
Sergej ist Mitgründer von Code Intelligence, welches an einer Software Testing Plattform arbeitet mit der Vision Softwareentwicklern einen einfacheren Einstieg in moderne Testingmethoden u.A. modernes Fuzzing zu ermöglichen.
Links:
- Fuzzingbook: Thx to Christial Holler und Prof. Andreas Zeller das Buch für Studenten und interessierte
- Analysis-Tools Plattform: Auflistung und Bewertung zahlreicher Tools zur Code-Analyse.
- Code-Integlligence Blog Allgemeine Erklärung wie modernes Fuzzing funktioniert
- Publikationen von Sergej, Cornelius und Thorsten
- FuzzCon Hier gibt es nächste Woche viele Vorträge zu dem Thema
- AFL war der erste „moderne“ Fuzzer, AFL++ wird gut weitergepflegt, hier haben wir einige Patches beigetragen und nutzen es gerne
- Ein high-level Artikel bei Heise
- LibFuzzer: Der beste Fuzzer für C/C++ als Teil von Clang
- ClusterFuzz wenn man die Zeit hat, kann man das beim eigenen integrieren
Kapitel
1. Zu Gast: Sergej Dechand (00:01:19)
2. Fragen (00:05:29)
3. Statische Code-Analyse (00:08:11)
4. Dynamische Code Analyse (00:17:24)
5. Entwicklung von Fuzzy Testing (00:21:52)
6. White-/Grey-/Blackbox Fuzzing (00:34:49)
7. AFL (00:46:38)
8. Heartbleed (00:50:31)
9. Bug Detektoren und Red Zones (00:52:48)
10. DevSecOps (01:11:05)
11. Fuzzy Testing Ausblick (01:15:59)
12. Aktuelle Forschung im Bereich Fuzzing (01:19:05)
13. FuzzCon (01:23:14)
14. Links und Empfehlungen (01:25:56)
43 Episoden
Alle Folgen
×
Willkommen auf Player FM!
Player FM scannt gerade das Web nach Podcasts mit hoher Qualität, die du genießen kannst. Es ist die beste Podcast-App und funktioniert auf Android, iPhone und im Web. Melde dich an, um Abos geräteübergreifend zu synchronisieren.
Ähnelt Techtiefen
Jeden Tag eine App
…
continue reading
Jeden Samstag das Neueste aus Computertechnik und Informationstechnologie. Beiträge, Reportagen und Interviews zu IT-Sicherheit, Informatik, Datenschutz, Smartphones, Cloud-Computing und IT-Politik. Die Trends der IT werden kompakt und informativ zusammengefasst.
…
continue reading
Neue Produkte und Trends aus Computertechnik und Telekommunikation: Was bringen uns die neuen Technologien? Was gibt es Spannendes im Netz? Eine Orientierung im Dschungel der Bits und Bytes. "Das Computermagazin" - Ein gemeinsames Magazin der Redaktionen Wissenschaft, Wirtschaft und Zündfunk.
…
continue reading
Menschen! Technik! Sensationen!
…
continue reading
Jeden Samstag das Neueste aus Computertechnik und Informationstechnologie. Beiträge, Reportagen und Interviews zu IT-Sicherheit, Informatik, Datenschutz, Smartphones, Cloud-Computing und IT-Politik. Die Trends der IT werden kompakt und informativ zusammengefasst.
…
continue reading
In dieser Serie diskutieren wir interessante Themen aus Software-Entwicklung und -Architektur – immer mit dem Fokus auf Praxistauglichkeit.
…
continue reading
Der abwechslungsreichste Spiele-Podcast der Welt. Mit Anne, Micha, Manu, Nina und illustren Gästen aus der Videospielbranche. Meinungen, Interviews und Croissants.
…
continue reading
Helden der Computerspiele-Berichterstattung plaudern über historische und aktuelle Themen
…
continue reading
Immer donnerstags live um 17 Uhr sprechen Anna Kalinowsky, Malte Kirchner und Volker Zota von heise online bei YouTube über die Tech-Themen der Woche. Zum Nachhören gibt es die #heiseshow auch als Podcast.
…
continue reading
1
Zurück zur Zukunft - Tech-News und Business Models
Zurück zur Zukunft - Tech-News und Business Models
Nicht nostalgisch an Vergangenem kleben, sondern optimistisch die Zukunft gestalten: Zurück zur Zukunft! Denn: Institutionen werden immer versuchen, die Probleme zu erhalten, für die sie die Lösung sind (Clay Shirky). Wir fassen daher seit 2019 jede Woche die wichtigsten Entwicklungen im technologischen Umfeld zusammen und ordnen ihre Konsequenzen für Unternehmen und die Gesellschaft ein. Jeden Dienstag neu! Als Unternehmer aus Berlin befassen wir uns seit 1995 intensiv mit dem Internet und ...
…
continue reading
Player FM - Podcast-App
Gehen Sie mit der App Player FM offline!
Gehen Sie mit der App Player FM offline!
