Fuzz Testing von Konfigurationsparsern der CORE Software: Eine Analyse der Sicherheitslücken und Robustheit durch automatisierte Testmethoden
- Masterarbeit -
Description:
Konfigurationsparser sind von essentieller Relevanz in den Segmenten der Softwareentwicklung, da sie die Interpretationen von Konfigurationsdateien und Einstellungen vornehmen, durch die das Systemverhalten einer Software gesteuert werden kann. Defizite bei den programmtechnischen Umsetzungen sowie in der Verarbeitung des Inputs in diesen Parsern können weitreichende Sicherheitsprobleme nach sich ziehen, die bei anderen Softwaretests übersehen werden. Wenn diese Schwachstellen nicht frühzeitig entdeckt und behoben werden, bevor sie ausgenutzt werden können, kann dies der Integrität und Sicherheit von medizinischen Geräten, Softwarelösungen und der Patientendaten schaden und den regulatorischen Anforderungen der FDA zur Produktsicherheit nicht entsprechen. Zur Aufdeckung dieser Sicherheitslücken wird ein bereits etablierter Ansatz, das sogenannte Fuzz Testing verwendet: Dieses Prinzip verfolgt den Ansatz, durch automatisierte Tests auf Basis der Übergabe erheblicher Mengen an randomisierten Input-Daten an die Softwaremodule um unerwartetes Verhalten oder auch Abstürze aufzudecken.
Die Zielstellung der anstehenden Masterarbeit zielt darauf ab, verschiedene Fuzz-Test-Ansätze in die wichtigsten Konfigurationsparser der CORE Software zu integrieren und aufzuklären, inwiefern die Verarbeitung der erstellten Konfigurationsdaten zu schwerwiegenden, sicherheitsrelevanten
Fehlerzuständen führen können. Hinzukommend soll eine Gegenüberstellung von unterschiedlichen Fuzz-Methoden und -Tools erfolgen, sowie die Evaluierung der Effizienz und Effektivität verschiedener Testmethoden innerhalb der CORE Software in Bezug auf die unterschiedlichen Fehlertypen. Ein entscheidender Aspekt soll die Integration der zuvor evaluierten Fuzz-Test-Prinzipien für Continuous Integration/Continuous Deployment-Pipelines und die Unit Test Einbindung untersucht werden, sowie ein allgemeingültiges Reporting der Testergebnisse gefertigt und Best Practices für die Verankerung von Fuzz-Tests im CI/CD-Prozess entwickelt werden.
Anforderungen/Kenntnisse:
Fuzz-Testing, Continuous Integration/Continuous Deployment-Pipelines
Bearbeitung:
Marike Kallweit
Betreuung:
Prof. Dr. rer. nat. habil. Sven Groppe
Institut für Informationssysteme
Ratzeburger Allee 160 ( Gebäude 64 - 2. OG)
23562 Lübeck
Telefon: 0451 / 3101 5706