Offensive Cyber Security Blog: Im NSIDE Tech Blog veröffentlichen die Analysten der NSIDE interessante technische Artikel, neue Erkenntnisse und von uns entwickelte Techniken.
Fuzzing: Putting it all together (Teil 4/4)
Im ersten Teil der Blogserie haben wir bereits erläutert, was die grundsätzliche Zielsetzung von Fuzzing ist, welche Qualitätsunterschiede hinsichtlich der Abdeckung möglich sind und auf welche Einschränkungen und Hürden wir in unseren Assessments oft stoßen. Im zweiten Teil wurde der Fuzzer Boofuzz vorgestellt und die Anforderungen für einfache erschöpfende Tests erklärt. Der dritte Artikel widmete sich einem konkreten Gerät, wie Boofuzz zum Fuzzen und automatisierten Detektieren von Schwachstellen von Embedded-Webservern verwendet werden kann. Dieser Artikel beschreibt nun die Umsetzung der im dritten Artikel gelösten Problemstellungen und die finale Implementierung.
Im dritten Artikel wurden drei Problemstellungen gelöst, diese werden nun als Funktion in Python abgebildet.
1. Funktion: Starten des Webservers über die Telnet-Schnittstelle
s ist hierbei ein üblicher python socket. Die Funktion until() ist eine […]