Security-Schwachstellen mit Fuzzing aufdecken

Die Security-Norm IEC 62443 fordert in ihrem Teil 3-3 für das Foundational Requirement „System integrity“ das System Requirement „Input validation“ (in Abschnitt 7.7). Beispielsweise soll die Einhaltung von Wertebereichen für Datenfelder oder die Wohlgeformtheit von Datenpaketen geprüft werden. Wie kann man dynamisch testen, ob solche Prüfungen implementiert sind und ob sie funktionieren? Eine geeignete Testmethode ist „Fuzz Testing“ bzw. „Fuzzing“. Durch Fuzz Testing werden mehr oder weniger zufällige Eingangsdaten an das zu testende System übertragen und dann beobachtet, ob eine Fehlfunktion ausgelöst wurde. Fuzz Testing wird auch explizit in Teil 4-1 der IEC 62443 genannt, und zwar in Abschnitt 9.4 „Vulnerability testing“. Fuzz Testing kann Zero-Day-Vulnerabilities aufdecken, also Security-Schwachstellen, die bis dato noch niemandem bekannt waren. Fuzz Testing ist ein Black-Box-Test und benötigt keinen Quellcode. Der Bezug von Fuzz Testing zum Robustheitstest und zum Fault-Injection-Test wird hergestellt.

Was lernen die Zuhörer in dem Vortrag?

Die Zuhörer lernen, was Fuzzing bzw. Fuzz Testing ist und wie es funktioniert, welche Fehler Fuzzing findet (und welche nicht). Die Zuhörer lernen, wie man Anforderungen von Security-Normen in Bezug auf „Input Validation“ und „Vulnerability Testing“ erfüllen kann. Die Zuhörer erfahren, wie Fuzzing in Bezug zu Robustheitstest und Fault Injection steht.

Frank Büchner
Frank Büchner

Frank Büchner besitzt ein Diplom in Informatik von der Technischen Hochschule Karlsruhe, heute Karlsruher Institut für Technologie (KIT). Seit...

45 Minuten Vortrag

Einsteiger

Zeit

15:15-16:00
03. Juli


Raum

Raum "Madrid"


Zielpublikum

Tester, Security-Verantwortliche, Qualitätsbeauftragte


Themengebiet

Embedded Testing


ID

Mi1.4

Zurück

Copyright © 2019 HLMC Events GmbH