Open Source: Google-Fuzzing für Python freigegeben

Google stellt die selbst entwickelte Fuzzing-Engine Atheris als Open Source zur Verfügung.

Artikel veröffentlicht am , Mike Wobker
Googles Fuzzing-Engine Atheris hilft bei der Fehlersuche.
Googles Fuzzing-Engine Atheris hilft bei der Fehlersuche. (Bild: Tobias Költzsch/Golem.de)

Google hat nun die Entwicklung einer eigenen Fuzzing-Engine abgeschlossen und diese unter dem Namen Atheris veröffentlicht. Mit dem sogenannten Fuzzing werden Programme mit Eingaben gefüttert, um dadurch unerwartet auftretende Fehler zu finden. Diese automatisierte Methode eignet sich daher gut, um Schwachstellen aufzudecken, die von Entwicklern eventuell vorher nicht bedacht wurden. Besonders gut werden dabei Korrumpierungen des Speichers erkannt, die sich letztendlich auch als Sicherheitslücken ausnutzen lassen könnten.

Stellenmarkt
  1. IT-Administrator (m/w/d) für Kommunikations- und Kollaborationslösungen
    Beckhoff Automation GmbH & Co. KG, Verl
  2. UX Designer (m/w/d)
    INIT Group, Karlsruhe
Detailsuche

Atheris ist dazu geeignet, Fehler in Python-Code und nativen Erweiterungen zu finden. Dabei wird nicht nur eine Eingabe simuliert, sondern auch die Reaktion des Programmcodes verfolgt und ungewöhnliches beziehungsweise auffälliges Verhalten aufgezeichnet. Die Stärke von Atheris liegt laugt Google im differenzierten Fuzzing. Hierbei werden zwei Bibliotheken, die eigentlich dasselbe Verhalten zeigen sollten, auf Unterschiede geprüft.

Auch mit Erweiterungen nutzbar

Im Anwendungsbeispiel von Google werden die Pakete idna und libidn2 angeführt, die beide internationale Domain-Namen decodieren und auflösen. Nach der Prüfung mit Atheris zeigt sich allerdings, dass diese zu teils unterschiedlichen Ergebnissen kommen. Auch um herauszufinden, wie sich ein Code richtig verhalten sollte, ist Atheris geeignet.

Außerdem arbeitet Atheris auch mit nativen Python-Erweiterungen wie libFuzzer zusammen, wodurch sich fehlerhafte Speicherbelegungen erkennen lassen. Die Nutzung in Verbindung mit dem Clang Adress Sanitizer und Undefinded Behaviour Sanitizer ist ebenfalls möglich, sofern native Erweiterungen verwendet werden.

Golem Akademie
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    03.–04. Februar 2022, Virtuell
  2. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
Weitere IT-Trainings

Google empfiehlt zudem dringend den Einsatz von Python 3.3+, da sich hiermit beim Fuzzing deutlich bessere Ergebnisse erzielen lassen. Als Minimum wird Python 2.7 angegeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Corona-Warn-App
Jede geteilte Warnung kostete 100 Euro

Die Bundesregierung hat für die Corona-Warn-App bisher mehr als 130 Millionen Euro ausgegeben. Derzeit gibt es besonders viele rote Warnungen.

Corona-Warn-App: Jede geteilte Warnung kostete 100 Euro
Artikel
  1. Activision Blizzard: Was passiert mit Call of Duty, Diablo und Xbox Game Pass?
    Activision Blizzard
    Was passiert mit Call of Duty, Diablo und Xbox Game Pass?

    Playstation als Verlierer und Exklusivspiele für den Xbox Game Pass: Golem.de über die bislang größte Übernahme durch Microsoft.
    Eine Analyse von Peter Steinlechner

  2. Canon EOS R5 C: Canon macht EOS R5 zur echten 8K-Videokamera
    Canon EOS R5 C
    Canon macht EOS R5 zur echten 8K-Videokamera

    Canon führt mit der EOS R5 C Videokamera und Systemkamera zusammen.

  3. Energiespeicher: Große Druckluftspeicher locken Investorengelder an
    Energiespeicher
    Große Druckluftspeicher locken Investorengelder an

    Hydrostor bietet eine langlebige Alternative zu Netzspeichern aus Akkus, die zumindest in den 2020er Jahren wirtschaftlich ist.
    Von Frank Wunderlich-Pfeiffer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED 55" 120Hz 999€ • MindStar (u.a. NZXT WaKü 129€, GTX 1660 499€) • Seagate Firecuda 530 1TB inkl. Kühlkörper + 20€ PSN-Guthaben 189,90€ • HP Omen Gaming-Stuhl 319€ • Sony Pulse 3D Wireless PS5 Headset 79,99€ • Huawei MateBook 16,1" 16GB 512GB SSD 709€ [Werbung]
    •  /