Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

“Unfuzzbar! Wie konnten wir diesen Bug übersehen?”

In Zukunft wird es üblich sein, Bugs mit automatisierten Sicherheitstests vorzubeugen.

Fuzz Testing ist dabei eines der effektivsten Testverfahren, um Fehler und Sicherheitslücken in Software aufzuspüren. Das Verfahren eignet sich unter anderem besonders gut, um Speicherfehler zu finden. Deshalb ist Fuzzing speziell für C/C++-Anwendungen besonders hilfreich. Aber lohnt es sich auch Anwendungen in Memory-Safe-Sprachen zu fuzzen?

In meinem Vortrag möchte ich ein paar eindrucksvolle Sicherheitslücken in Java-Anwendungen vorstellen. Anhand dieser Beispiele werde ich aufzeigen, weshalb es wichtig ist, auch vermeintlich “sichere Programmiersprachen” wie Java zu fuzzen.

Vorkenntnisse

Keine. Das Thema wird für alle verständlich aufbereitet. Grundlegendes Wissen zu Java und Web Development ist jedoch hilfreich.

Lernziele

Am Ende des Vortrags, wissen die Teilnehmenden:

  • was Fuzz Testing ist,
  • welche kritischen Bugs sich häufig in Java-Anwendungen verstecken,
  • und mit welchen Open-Source Fuzzing-Tools sie ihre Java Anwendungen in Zukunft noch sicherer machen können.

Speaker

 

Khaled Yakdan
Khaled Yakdan ist Experte für binäre Codeanalyse und hat sich über acht Jahre im Bereich Reverse Engineering und Penetration Testing gearbeitet. Als CTO von Code Intelligence treibt Khaled heute die Entwicklung einer SaaS-Plattform für automatisiertes Security Testing voran.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden