Ich muss mal ein paar Zeilen \u00fcber Fuzzing schreiben. Wikipedia schreibt dazu nicht ganz zutreffend:<\/p>\n
Das ist so nicht ganz richtig. Fuzzer sind nicht auf Dateien beschr\u00e4nkt, es gibt nat\u00fcrlich auch Fuzzer f\u00fcr Netzwerkdienste, die beispielsweise durch fehlerhafte oder zuf\u00e4llig erzeugte Datenpakete zum Absturz gebracht werden k\u00f6nnen. Fuzzer wurden lange Zeitlang kaum beachtet, haben jedoch u.a. durch die Arbeit von HD Moore eine Renaissance erlebt. Auf der Webseite des Month of the Browser Bug<\/a> sind einige Fuzzer, u.a. AxMan<\/a>, Hamachi<\/a>, CSS-die<\/a>, DOM-Hanoi<\/a> und MangleMe<\/a> verlinkt. Insbesondere der ActiveX-Fuzzer AxMan hat sich als sehr wirkungsvoll erwiesen, vermutlich weil die meisten ActiveX-Controls nur auf Funktionalit\u00e4t und nicht in Hinblick auf Sicherheit entwickelt wurde. ActiveX von Microsoft geh\u00f6rt meines Erachtens generell zu den Technologien, die besser nicht entwickelt worden w\u00e4ren.<\/p>\n Das beliebteste Ziel von Fuzzern sind weiterhin offensichtlich Browser, hier gibt es auch die gr\u00f6\u00dfte Auswahl wie die Seite von HD Moore beweist. Sehr spannend finde ich auch SIP-Fuzzer<\/a>, mit denen man beispielsweise Telefonanlagen und IP-Telefone sehr gut angreifen kann. Als Fuzzer gegen Webserver gibt es beispielsweise den Spike Proxy<\/a> oder Wapiti<\/a>, und kommerzielle Produkte wie beStorm<\/a> sind nat\u00fcrlich auch nicht weit.<\/p>\n Aus Deutschland gibt es jetzt auch einen Browser-Fuzzer:<\/p>\n JdM (Jacques de Molay, ein gro\u00dfer Name<\/a>) hat einen neuen Browser-Fuzzer aufgelegt, den BrowserCrashTest Ride the Monkey<\/a>, aktuell in der Version 0.2 und komplett im Source Code<\/a> unter der GPL freigegeben. Der Fuzzer ist in Visual Basic programmiert und l\u00e4sst sich daher nur unter Windows kompilieren. Ich pers\u00f6nlich w\u00fcrde ja eine leichter portierbare Software z.B. in Java bevorzugen. Daf\u00fcr integriert er Funktionen wie DLL-Injection von iDefense und kann damit recht m\u00e4chtige Funktionen ausf\u00fchren. Insgesamt jedoch durchaus ein interessantes Tool.<\/p>\n Ob es \u00f6konomisch Sinn macht, sich mit Browsern zu besch\u00e4ftigen wage ich jetzt mal zu bezweifeln. Bei Browsern gibt es nur wenige Anbieter (Microsoft IE, Mozilla Firefox, Opera, Konqueror, Safari und ein paar Nischenprodukte), wenn man da L\u00fccken im Browser findet ist das f\u00fcr das Ego sicher gut, l\u00e4sst sich aber kaum in klingende M\u00fcnze umwandeln. Viel interessanter finde ich Fuzzer f\u00fcr Dienste oder Protokolle die neu und in vielen Unternehmen eingesetzt werden. Und da st\u00f6\u00dft man unweigerlich auf Dienste wie VoIP (SIP, SCCP, H.323) mit vielen verschiedenen Telefon- und Anlagenanbietern und immer wieder VPN (IKE, IPSEC, PPTP, HTTPS), das inzwischen \u00fcberall verbreitet ist. Ich denke, angefangen mit diesen Protokollen lie\u00dfe sich leicht auch ein kommerziell erfolgreicher Fuzzer entwickeln.<\/p>\n