Confidence - (25-26.05 2010 Krakow)
Język: polski | english

Vincenzo Iozzo

Vincenzo Iozo

Temat prezentacji: Fuzzing bez wiedzy

Język prezentacji: Angielski

Abstrakt: Testowanie losowe (fuzzing) jest w dzisiejszych czasach techniką dość powszechnie wykorzystywaną przez osoby dokonujące ataku i programistów. Obecnie znane techniki zwykle pociągają za sobą znajomość protokołu/formatu, który należy przetestować i znajomość, w jaki sposób dane wprowadzone przez użytkownika są przetwarzane wewnątrz binariów. W przeszłości fuzzing był mało używany i uzyskanie dobrych wyników z małą ilością wysiłku było możliwe. Dziś znalezienie błędów wymaga dużo kopania wewnątrz kodu i danych wprowadzanych przez użytkownika, gdyż powszechne luki w zabezpieczeniach są już określone i naprawione przez deweloperów. Ta prelekcja przedstawia pomysł, jak skutecznie dokonywać fuzzingu bez wiedzy o danych użytkownika oraz kodzie binarnym. Prezentacja zademonstruje jak techniki, takie jak pokrycie kodu, skażenia danych i fuzzing w pamięci pozwalają zbudować silny fuzzer bez konieczności jego instrumentowania.