?
Hallo Jens,
das Thema Application Security wird leider bei vielen Software-Herstellern zu wenig beachtet. Am leichtesten bekommt man Informationen über Security Flaws oder Leaks über das Hilfsmittel "Fuzzing". Jetzt ist Fuzzing aber für viele nicht so ein einfaches Thema. Es gibt Fuzzing Frameworks, die man je nach Testfall immer neu zusammen stellen muss. Das Problem hierbei ist, daß a) man schlecht nachvollziehbare Ergebnisse erzeugt, und b) Auditierbarkeit gleich null ist.
Es gibt wenige Fuzzing-Tools, die man als voll integriertes Produkt bezeichnen kann, und auch voll auditierbar/nachvollziehbar sind.
Man kann diese Tools sowohl im Bereich der Software-Entwicklung, als auch im Bereich der Unternehmens-Security einsetzen.
Das beste Beispiel ist hier z.B. Codenomicon www.codenomicon.com und die Codenomicon Labs www.gohackyourself.net.
Codenomicon Defensics Tools werden von z.B. T-Systems, Cisco, Microsoft und vielen anderen mittlerweile zum Security-Testing verwendet. Hier mal ein paar Infos und Links zu Meldungen im Netz:
Verizon
Verizon Communications Integrates Codenomicon's DEFENSICS Robustness Testing Platform Into Its Chest of Armor same?
URL: http://findarticles.com/p/articles/mi_pwwi/is_200702/ai_n17169163
One Verizon lab entry criteria mentioning Codenomicon
URL: http://www22.verizon.com/technologytesting/files/LEC-TMPL-2006v02.pdf
Microsoft
Microsoft developer recommending Codenomicon
URL: http://forums.microsoft.com/msdn/ShowPost.aspx?PostID=2445846&SiteID=1
URL: http://forums.microsoft.com/msdn/ShowPost.aspx?PostID=2008064&SiteID=1
T-Systems
Process-Based Security Testing in a Carrier Environment by Sven Weizenegger, Lead of Security Testing and Senior Consultant, T-Systems and Heikki Kortti, Senior Security Specialist, Codenomicon
URL: http://iptcomm.org/iptcomm2008/page15/page15.html
NISCC/CESG
NISCC/CESG: Codenomicon Test Tools Discover Critical Security Vulnerabilities in Popular Web Browsers Microsoft reference?
Certicom
URL: http://apache.sys-con.com/node/104846
URL: http://www.microsoft.com/technet/security/bulletin/ms05-025.mspx
Apache
Apache Credits Codenomicon in Advisory from 2004/2005
URL: http://httpd.apache.org/security/vulnerabilities_20.html
OpenSSL
OpenSSL Advisories mentioning Codenomicon several times since 2004/2005
URL: http://www.openssl.org/news/vulnerabilities.html
GnuTLS
Vulnerability Advisory on GnuTLS
URL: http://www.cert.fi/haavoittuvuudet/advisory-gnutls.html
Cisco
Open, public presentation by Gaus and Takanen in SV-SPIN in 2005
Public Cisco brochures/notes mentioning Codenomicon:
URL:
http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns779/aag_cisco_assurewave_v2.pdf
URL:
http://www.cisco.com/en/US/docs/security/asa/asa70/release/notes/asarn705.pdf
(you love it)
URL:
http://www.cisco.com/en/US/docs/voice_ip_comm/cuipph/7960g_7940g/firmware/sip/7_5/english/release/notes/phnrn75s.pdf
URL:
http://www.cisco.com/en/US/docs/voice_ip_comm/cuipph/7960g_7940g/firmware/sip/8_2/english/release/notes/phnrn82s.pdf
(this is nice too)
URL:
http://www.cisco.com/en/US/docs/security/csc/csc62/release/notes/cscrn622.pdf
URL:
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123relnt/800/rn4t11a.pdf
(nice)
URL:
http://www.cisco.com/en/US/docs/app_ntwk_services/data_center_app_services/css11500series/v8.20/release/note/RN820_X.pdf
(SNMP)
URL:
http://www.cisco.com/en/US/docs/ios/12_3/12_3y/release/notes/rn1800yg.pdf
URL:
http://www.cisco.com/en/US/docs/security/fwsm/fwsm32/release/notes/fwsmrn32.pdf
URL:
http://www.cisco.com/en/US/docs/security/asa/asa72/release/notes/asarn722.pdf
(TLS)
URL:
http://www.cisco.com/en/US/docs/voice_ip_comm/pgw/9/release/note/rn973.pdf
(SIP, MGCP,..)
NetBSD
URL: http://cert.fi/haavoittuvuudet/2008/advisory-netbsd.html
VTT Research
Security Objectives within a Security Testing Case Study; Nokia
URL:
http://www.netlab.tkk.fi/opetus/s38310/04-05/Kalvot_04-05/chomchuen_071204.ppt