Kodsnack 312 - I den hundradimensionella rymden kan ingen höra dig skrika, med Paul Dreik
2019-05-14 05:26Tobias snackar med Paul Dreik om fuzzing - att att hitta fel i sitt program genom att bombardera det med oväntad data. Det är inte bara nyttigt för bufferöversvämningar i C++-program. Om ditt program är av den sällsynta typen som tar input från omvärlden är fuzzing definitivt ett verktyg du kan ha nytta av! Paul berättar vad fuzzing är, varför man har nytta av det och vilka verktyg man kan tänkas vilja använda.
Har någon lyssnare erfarenhet av att fuzza Java? Paul vill höra hur det är!
Ett stort tack till Cloudnet som sponsrar vår VPS!
Har du kommentarer, frågor eller tips? Vi är @kodsnack, @tobiashieta, @oferlund, och @bjoreman på Twitter, har en sida på Facebook och epostas på info@kodsnack.se om du vill skriva längre. Vi läser allt som skickas.
Gillar du Kodsnack får du hemskt gärna recensera oss i iTunes!
Länkar
- Fuzzing
- Stockholm C++-meetupen
- Meetup-tillfället där Tobias och Paul pratade
- Paul Dreiks webbplats, Twitter och företag
- Pauls presentationsbilder och video
- AFL
- Sandbox escapes i Chrome
- Patricia Aas presentationer
- grep
- cat
- sort
- Hur fuzzing började
- libfuzzer
- bdecode - funktion för libtorrent skriven av Arvid Nordberg
- Valgrind
- Statisk analys
- Integer overflow
- Libxml2
- AFL QEMU mode
- Differentiell fuzzning
- Guido Vranken håller på med differentiell fuzzning med bignumbibliotek som körs mot varandra
- Pauls presentation, igen och video
- Konstiga bilder som en fuzzer har genererat
Titlar
- Varför kan du så mycket om fuzzing?
- Ett skal i säkerhetslöken
- Då var fuzzningen född
- I den hundradimensionella rymden kan ingen höra dig skrika
- Alla program som tar input behöver lite fuzzing
- Input som kraschar ditt program
- Vara så himla känslig man bara kan
- Oj, vi läste minnet fel
- Bisarra corner cases