Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 3,00 € pro Monat

Open Source: Google-Fuzzing für Python freigegeben

Google stellt die selbst entwickelte Fuzzing-Engine Atheris als Open Source zur Verfügung.

Artikel veröffentlicht am 9. Dezember 2020, 9:26 Uhr, Mike Wobker

Googles Fuzzing-Engine Atheris hilft bei der Fehlersuche. (Bild: Tobias Költzsch/Golem.de)

Google hat nun die Entwicklung einer eigenen Fuzzing-Engine abgeschlossen und diese unter dem Namen Atheris veröffentlicht. Mit dem sogenannten Fuzzing werden Programme mit Eingaben gefüttert, um dadurch unerwartet auftretende Fehler zu finden. Diese automatisierte Methode eignet sich daher gut, um Schwachstellen aufzudecken, die von Entwicklern eventuell vorher nicht bedacht wurden. Besonders gut werden dabei Korrumpierungen des Speichers erkannt, die sich letztendlich auch als Sicherheitslücken ausnutzen lassen könnten.

Stellenmarkt

IT-Administrator (m/w/d) für Kommunikations- und Kollaborationslösungen
Beckhoff Automation GmbH & Co. KG, Verl
UX Designer (m/w/d)
INIT Group, Karlsruhe

Detailsuche

Atheris ist dazu geeignet, Fehler in Python-Code und nativen Erweiterungen zu finden. Dabei wird nicht nur eine Eingabe simuliert, sondern auch die Reaktion des Programmcodes verfolgt und ungewöhnliches beziehungsweise auffälliges Verhalten aufgezeichnet. Die Stärke von Atheris liegt laugt Google im differenzierten Fuzzing. Hierbei werden zwei Bibliotheken, die eigentlich dasselbe Verhalten zeigen sollten, auf Unterschiede geprüft.

Auch mit Erweiterungen nutzbar

Im Anwendungsbeispiel von Google werden die Pakete idna und libidn2 angeführt, die beide internationale Domain-Namen decodieren und auflösen. Nach der Prüfung mit Atheris zeigt sich allerdings, dass diese zu teils unterschiedlichen Ergebnissen kommen. Auch um herauszufinden, wie sich ein Code richtig verhalten sollte, ist Atheris geeignet.

Außerdem arbeitet Atheris auch mit nativen Python-Erweiterungen wie libFuzzer zusammen, wodurch sich fehlerhafte Speicherbelegungen erkennen lassen. Die Nutzung in Verbindung mit dem Clang Adress Sanitizer und Undefinded Behaviour Sanitizer ist ebenfalls möglich, sofern native Erweiterungen verwendet werden.

Golem Akademie

Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
03.–04. Februar 2022, Virtuell
Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop

Weitere IT-Trainings

Google empfiehlt zudem dringend den Einsatz von Python 3.3+, da sich hiermit beim Fuzzing deutlich bessere Ergebnisse erzielen lassen. Als Minimum wird Python 2.7 angegeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de

ohne Werbung
mit ausgeschaltetem Javascript
mit RSS-Volltext-Feed

Reklame: Hier geht es zu Python 3: Das umfassende Handbuch bei Amazon

Themenseiten:

Zu den Kommentaren springen

Kommentarübersicht

Artikel

Activision Blizzard

Was passiert mit Call of Duty, Diablo und Xbox Game Pass?

Playstation als Verlierer und Exklusivspiele für den Xbox Game Pass: Golem.de über die bislang größte Übernahme durch Microsoft.
Eine Analyse von Peter Steinlechner
Canon EOS R5 C

Canon macht EOS R5 zur echten 8K-Videokamera

Canon führt mit der EOS R5 C Videokamera und Systemkamera zusammen.
Energiespeicher

Große Druckluftspeicher locken Investorengelder an

Hydrostor bietet eine langlebige Alternative zu Netzspeichern aus Akkus, die zumindest in den 2020er Jahren wirtschaftlich ist.
Von Frank Wunderlich-Pfeiffer

Schnäppchen, Rabatte und Top-Angebote

Die besten Deals des Tages

Daily Deals • LG OLED 55" 120Hz 999€ • MindStar (u.a. NZXT WaKü 129€, GTX 1660 499€) • Seagate Firecuda 530 1TB inkl. Kühlkörper + 20€ PSN-Guthaben 189,90€ • HP Omen Gaming-Stuhl 319€ • Sony Pulse 3D Wireless PS5 Headset 79,99€ • Huawei MateBook 16,1" 16GB 512GB SSD 709€ [Werbung]

Themen
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
#