USP003 – Fuzzing

Thema diese Folge ist Fuzzing und Tools die dafür geeignet sind. Wir erklären den Unterschied zu Unit-, Integration- und Akzeptanztests und warum Fuzzing in der Software-Entwicklung nützlich sein kann.

Das Open Source Fuzzing Projekt von Google: Google OSS-Fuzz-Roboter
Das Fuzz-Lab von Microsoft könnt ihr euch hier anschauen.
Zum Binary-Fuzzer (American Fuzzy Lop) von dem wir gesprochen haben geht es hier lang.
Für das fuzzen von APIs gibts viele Optionen, hier ein paar Beispiele:

  • PyjFuzz – Python basierte library zum permutieren von JSON
  • ProtoFuzz – Fuzzer für Protobuf
  • tntfuzzer – OpenAPI (früher Swagger) Fuzzer. Nimmt OpenAPI-Specification entgegen und verschickt Fuzzing-Anfragen an den Server

Ein Beispiel für das Fuzzen von Code ist dieser Java Code Fuzzer: javafuzz.

Link zum direkten Download der Audio-Datei: usp003-fuzzing

USP002 – Auth und Auth

Wir reden über den Unterschied zwischen Authentifizierung und Autorisierung. Außerdem diskutieren wir unter anderem über biometrische Authentifizierungsmöglichkeiten und was für Merkmale eine Authentifizierung braucht. Auch Thema ist Zwei-Faktor-Authentifizierung, Passwortmanager und was es hier für Möglichkeiten gibt.

Link zum direkten Download der Audio-Datei: usp002-auth-und-auth