Open Source: Google-Fuzzing für Python freigegeben

Google stellt die selbst entwickelte Fuzzing-Engine Atheris als Open Source zur Verfügung.

Artikel veröffentlicht am , Mike Wobker
Googles Fuzzing-Engine Atheris hilft bei der Fehlersuche.
Googles Fuzzing-Engine Atheris hilft bei der Fehlersuche. (Bild: Tobias Költzsch/Golem.de)

Google hat nun die Entwicklung einer eigenen Fuzzing-Engine abgeschlossen und diese unter dem Namen Atheris veröffentlicht. Mit dem sogenannten Fuzzing werden Programme mit Eingaben gefüttert, um dadurch unerwartet auftretende Fehler zu finden. Diese automatisierte Methode eignet sich daher gut, um Schwachstellen aufzudecken, die von Entwicklern eventuell vorher nicht bedacht wurden. Besonders gut werden dabei Korrumpierungen des Speichers erkannt, die sich letztendlich auch als Sicherheitslücken ausnutzen lassen könnten.

Stellenmarkt
  1. IT-Mitarbeiterin (m/w/d)
    Hochschule für Musik und Tanz Köln, Köln
  2. IT-Support 1st/2nd Level (m/w/d)
    easyCOSMETIC Recruiting Ltd, Großbeeren
Detailsuche

Atheris ist dazu geeignet, Fehler in Python-Code und nativen Erweiterungen zu finden. Dabei wird nicht nur eine Eingabe simuliert, sondern auch die Reaktion des Programmcodes verfolgt und ungewöhnliches beziehungsweise auffälliges Verhalten aufgezeichnet. Die Stärke von Atheris liegt laugt Google im differenzierten Fuzzing. Hierbei werden zwei Bibliotheken, die eigentlich dasselbe Verhalten zeigen sollten, auf Unterschiede geprüft.

Auch mit Erweiterungen nutzbar

Im Anwendungsbeispiel von Google werden die Pakete idna und libidn2 angeführt, die beide internationale Domain-Namen decodieren und auflösen. Nach der Prüfung mit Atheris zeigt sich allerdings, dass diese zu teils unterschiedlichen Ergebnissen kommen. Auch um herauszufinden, wie sich ein Code richtig verhalten sollte, ist Atheris geeignet.

Außerdem arbeitet Atheris auch mit nativen Python-Erweiterungen wie libFuzzer zusammen, wodurch sich fehlerhafte Speicherbelegungen erkennen lassen. Die Nutzung in Verbindung mit dem Clang Adress Sanitizer und Undefinded Behaviour Sanitizer ist ebenfalls möglich, sofern native Erweiterungen verwendet werden.

Golem Akademie
  1. Einführung in die Programmierung mit Rust
    21.-24. September 2021, online
  2. Advanced Python - Fortgeschrittene Programmierthemen
    16./17. September 2021, online
Weitere IT-Trainings

Google empfiehlt zudem dringend den Einsatz von Python 3.3+, da sich hiermit beim Fuzzing deutlich bessere Ergebnisse erzielen lassen. Als Minimum wird Python 2.7 angegeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Glasfaser
Berliner Senat blamiert sich mit Gigabitstrategie

Der Berliner Senat ist nach Jahren aus dem Dämmerzustand hochgeschreckt und hat nun eine Gigabitstrategie. Warum haben sie nicht einfach geschwiegen?
Ein IMHO von Achim Sawall

Glasfaser: Berliner Senat blamiert sich mit Gigabitstrategie
Artikel
  1. ChromeOS, Freenode, Elder Scrolls: Erste Hinweise auf The Elder Scrolls 6 an Raumschiff-Teilen
    ChromeOS, Freenode, Elder Scrolls
    Erste Hinweise auf The Elder Scrolls 6 an Raumschiff-Teilen

    Sonst noch was? Was am 14. Juni 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Coronapandemie: Einige Microsoft-Admins schliefen direkt in Rechenzentren
    Coronapandemie
    Einige Microsoft-Admins schliefen direkt in Rechenzentren

    Um weite Arbeitswege und Verspätungen zu vermeiden, hatten es sich einige Microsoft-Mitarbeiter in den eigenen Rechenzentren bequem gemacht.

  3. Kryptowährung: Elon Musk könnte Bitcoin doch wieder mögen
    Kryptowährung
    Elon Musk könnte Bitcoin doch wieder mögen

    Tesla will Bitcoin vielleicht irgendwann wieder als Zahlungsmittel akzeptieren - diese Aussage reicht, um den Kurs steigen zu lassen.

Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense 59,99€ • Battlefield 2042 PC 53,99€ • XXL Sale bei Alternate • Rainbow Six Extraction Limited PS5 69,99€ • Sony Pulse 3D-Headset PS5 99,99€ • Snakebyte Gaming Seat Evo 149,99€ • Bethesda E3 Promo bei GP [Werbung]
    •  /