Skip to main content
Fachgebiete
Automobil + Motoren Bauwesen + Immobilien Business IT + Informatik Elektrotechnik + Elektronik Energie + Nachhaltigkeit Finance + Banking Management + Führung Marketing + Vertrieb Maschinenbau + Werkstoffe Versicherung + Risiko
DE
EN
Bücher
Zeitschriften
Themenseiten
Organisationspsychologie Projektmanagement Marketing Smart Manufacturing
Weitere Formate
Podcasts Webinare Technik Webinare Wirtschaft Kongresse Veranstaltungskalender Awards
Jetzt Einzelzugang starten
Zugang für Unternehmen
Referenzkunden
SLX-Digitalkonferenz: Zukunftswerkstatt 2024

Mehr Umsatz mit Top-Kontakten

Am 7. Mai erfahren Sie, wie Vertriebsteams Leadgenerierung, Leadnurturing und Leadstrategien effizient steuern können.
Erweiterte Suche
Anmelden
nach oben
Erschienen in:
Combining GSN and STPA for Safety Arguments Kapitel lesen Erstes Kapitel lesen

2019 | OriginalPaper | Buchkapitel

Comparative Evaluation of Security Fuzzing Approaches

verfasst von : Loui Al Sardy, Andreas Neubaum, Francesca Saglietti, Daniel Rudrich

Erschienen in: Computer Safety, Reliability, and Security

Verlag: Springer International Publishing

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config
loading …

Abstract

This article compares security fuzzing approaches with respect to different characteristics commenting on their pro and cons concerning both their potential for exposing vulnerabilities and the expected effort required to do so. These preliminary considerations based on abstract reasoning and engineering judgement are subsequently confronted with experimental evaluations based on the application of three different fuzzing tools characterized by diverse data generation strategies on examples known to contain exploitable buffer overflows. Finally, an example inspired by a real-world application illustrates the importance of combining different fuzzing concepts in order to generate data in case fuzzing requires the generation of a plausible sequence of meaningful messages to be sent over a network to a software-based controller as well as the exploitation of a hidden vulnerability by its execution.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 102.000 Bücher
  • über 537 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe
  • Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 390 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Maschinenbau + Werkstoffe




 

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 340 Zeitschriften

aus folgenden Fachgebieten:

  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Versicherung + Risiko




Jetzt Wissensvorsprung sichern!

Jetzt informieren
Vorheriges Kapitel Modular Safety Cases for Product Lines Based on Assume-Guarantee Contracts
Nächstes Kapitel Assuring Compliance with Protection Profiles with ThreatGet
Anhänge
Nur mit Berechtigung zugänglich
Literatur
1.
2.
Cadar, C., Dunbar, D., Engler, D.: KLEE: unassisted and automatic generation of high-coverage tests for complex systems programs. In: USENIX Symposium on Operating Systems Design and Implementation (OSDI 2008). USENIX Association (2008)
3.
Cisco: Most Common CWE Vulnerabilities, annual cybersecurity report (2018)
4.
Cisco: CWE threat category activity, midyear security report (2015)
5.
6.
7.
Makarov, A., Billowie, O.: Steuerung einer Destillationsanlage, interner Bericht. Hochschule Magdeburg-Stendal, Fachbereich IWID, Institut für Elektrotechnik (2008)
8.
MITRE Corporation: A buffer overflow vulnerability in WhatsApp VOIP stack allowed remote code execution via specially crafted series of SRTCP packets sent to a target phone number, Common Vulnerabilities and Exposures Database (CVE), CVE-2019-3568 (2019)
9.
MITRE Corporation: Buffer overflow in the skey_challenge function in ftpd.c for wu-ftp daemon (wu-ftpd) 2.6.2, Common Vulnerabilities and Exposures Database (CVE), CVE-2004-0185 (2004)
10.
MITRE Corporation: Buffer overflow in the SockPrintf function in wu-ftpd 2.6.2, Common Vulnerabilities and Exposures Database (CVE), CVE-2003-1327 (2003)
11.
MITRE Corporation: Off-by-one Error in fb_realpath(), Common Vulnerabilities and Exposures Database (CVE), CVE-2003-0466 (2003)
12.
13.
Saglietti, F., Meitner, M., von Wardenburg, L., Richthammer, V.: Analysis of informed attacks and appropriate countermeasures for cyber-physical systems. In: Skavhaug, A., Guiochet, J., Schoitsch, E., Bitsch, F. (eds.) SAFECOMP 2016. LNCS, vol. 9923, pp. 222–233. Springer, Cham (2016). https://​doi.​org/​10.​1007/​978-3-319-45480-1_​18CrossRef
14.
Schneider Electric Software Security Response Center: InduSoft Web Studio and InTouch Machine Edition – Remote Code Execution Vulnerability, Security Bulletin LFSEC00000125 (2018)
15.
16.
Shoshitaishvili, Y., Wang, R., et al.: (State of) the art of war: offensive techniques in binary analysis. In: IEEE Symposium on Security and Privacy. IEEE (2016)
17.
18.
Metadaten
Titel
Comparative Evaluation of Security Fuzzing Approaches
verfasst von
Loui Al Sardy
Andreas Neubaum
Francesca Saglietti
Daniel Rudrich
Copyright-Jahr
2019
Buch
Computer Safety, Reliability, and Security

Print ISBN: 978-3-030-26249-5

Electronic ISBN: 978-3-030-26250-1

Copyright-Jahr: 2019

DOI
https://doi.org/10.1007/978-3-030-26250-1_4