Google kreiert Lösung für Fuzz-Testing

Unter dem Namen ‘Lemon’ entwickeln die Fachleute dort derzeit eine Mischung aus Scanner und Fuzzer. Diese Kombination soll defekte Produkte in der Umgebung aufspüren.

Ein Fuzzer oder Fuzz Testing Tool geht dabei so vor, dass es zufällig ausgewählte, fehlerhafte Daten sendet, um ein möglicherweise fehlerhaftes Programm gezielt zum Absturz zu bewegen. Ergänzt wird ein Fuzzer, wie in diesem Fall, idealerweise durch einen Scanner. Ein Fuzzer deckt eine größere Bandbreite an möglichen Fehlerpunkten ab und kann gerade bei neuen Fehlern eine höhere Trefferquote erreichen als die gezielten Tests, die teilweise nur bereits bekannte Fails oder Bugs berücksichtigen.

Laut Srinath Anantharaju, Googles Sprecher des internen Security-Teams, agiere der Fuzzer wie eine Blackbox. Google versuche sich als erstes Web-Portal an solchen Techniken. Lemon soll sich vor allem mit den gefährlichen Cross Site Scripting Bugs beschäftigen und gilt Anantharaju zufolge als eines der ersten kommerziellen Fuzzer-Produkte am Markt. Dabei sei der Fuzzer aber durch den angebauten Scanner intelligenter, als die im Web erhältlichen Open Source Fuzzer. Lemon arbeite gewissermaßen auf dem Scanner. Und der behalte die Übersicht über den konkreten Input. Wann das Tool auf den Markt kommt und wie vermieden werden soll, dass es in die Hände von Hackern gerät, war bisher nicht zu erfahren.