Unter Security-Forschern ist man sich weitestgehend einig: Fuzz Testing ist zurzeit das effektivste Testverfahren, um Sicherheitslücken in Software aufzudecken. Tech-Riesen wie Google setzen deshalb schon länger auf die Technologie. Alleine im Chrome Browser hat Google seit 2016 bereits über 29 000 Bugs mit Fuzz Testing gefunden. Das Grundprinzip der Methode besteht darin, eine Software mit automatisch generierten Testeingaben zum Absturz zu bringen. Moderne „Fuzzer“ können dabei die Struktur und das Verhalten der Anwendung in Echtzeit interpretieren und ihre Eingaben intelligent anpassen. Die Fuzzer maximieren somit die Code-Abdeckung und die Wahrscheinlichkeit Bugs zu triggern. Da die Anwendung dabei tatsächlich ausgeführt wird, ermöglicht Fuzzing zuverlässige Testergebnisse, ohne False Positives.

In diesem Vortrag möchte ich einen kleinen Einblick in die aktuelle Forschung zum Thema Fuzz Testing geben und anhand von Beispielen zeigen, wie Fuzzing in der Praxis eingesetzt wird.