Automatisiertes und Optimiertes Fuzzing von .NET DLLs
Fuzzing ist eine effektive Möglichkeit bestehende Software auf ihre Robustheit zu testen. Allerdings ist Fuzzing häufig mit intensiver manueller Vorbereitung verbunden. In dem Vortrag „Automatisiertes und Optimiertes Fuzzing von Dynamic-link Libraries" werden wir zeigen, wie vollautomatisches Fuzzing von .NET DLLs möglich ist. Hierzu werden wir kurz Fuzzing an sich und wichtige Begriffe wie z.B. Harness, Corpus und Coverage erklären. Anschließend erläutern wir anhand eines entwickelten Tools, wie wir bei der Automatisierung vorgegangen sind. Wir zeigen erst wie automatisch Targets, also zum Fuzzing geeignete Funktionen, mittelst statischer Sourcecode-Analyse ermittelt und für diese ein Harness generiert wird. Anschließend gehen wir auf das Scheduling ein, welches mögliche negative Auswirkungen der automatischen Targetauswahl minimiert und gleichzeitig durch Parallelisierung den Prozess des Fuzzings optimiert. Im Anschluss zeigen wir das automatische Reproduzieren von gefundenen Fehlern. Zum Abschluss der Präsentation gehen wir näher auf die Auswertung von verschiedenen untersuchten DLLs ein. In mehreren Testläufen wurden bei 31 Targets Fehler ausgelöst, meist handelt es sich um Abstürze, in einigen Fällen hat sich die DLL bei der Verarbeitung der generierten Eingabe aufgehängt. Betroffen sind unter anderem eine Kryptobibliothek.
Additional information
| Type | Talk |
|---|---|
| Language | German |
More sessions
| 9/1/23 |
Es geht zu Ende
|
| 9/1/23 |
Ablauf und Planung einer Strahlentherapie, Umgang mit der Planugs-Software, sinnvolle Hilfestellung durch KI (?) am realen Beispiel
|
| 9/1/23 |
Wie bekommt man in einem Großkonzern das unbeliebte Thema Softwaresicherheit umgesetzt? Wir zeigen, wie wir bei DB Vertrieb die Sicherheitsmaßnahmen unseres Softwarelebenszyklus erklären und Unterstützung für die Umsetzung gewinnen.
|
| 9/1/23 |
Tab-completion ist eine tolle Sache, aber woher weiss die shell eigentlich was sinnvolle Vervollständigungsvorschläge sind, und was nicht? Ich möchte einen kleinen Überblick darüber geben welche Mechanismen es da gibt, und wo ich Vor- und Nachteile unterschiedlicher Methoden gibt.
|
| 9/1/23 |
Wie entsteht der Fahrplan? Wie funktioniert der Austausch? Wie entstehen Echtzeitdaten dafür? Was könnte da alles schief gehen? Ich versuche mal ein paar Fragen zu beantworten und erkläre euch ein bisschen wie das mit dem Fahrplan und dann den Echtzeitdaten funktioniert.
|
| 9/1/23 |
Mehr als 75% der mittelständigen Unternehmen in Deutschland sehen ein hohes Risiko, dass Marktbegleiter der eigenen Branche, Opfer von Cyberkriminalität werden. Doch lediglich 30-40% sehen dieses Risiko auch für das eigene Unternehmen. Das geht aus einer repräsentativen Umfrage von 300 Unternehmen hervor. Dieser Talk handelt von der Diskrepanz zwischen Realität und Wunschbild, wenn es um die Cybersicherheit in kleinen- und mittleren Unternehmen geht.
|
| 9/1/23 |
Mastodon is currently one of the leading services in the so called Fediverse as a federated online social network, so its inner workings are of special interest to understand and for attackers to potentially abuse. This talk aims to show one essential compontent of the Fediverse: Trust. And what will happen if you misuse it. The general architecture of the Fediverse to understand the design possibility for such attacks is also taken into account as well as ethical considerations to conduct ...
|
