Open Access

Fuzz-Tests haben sich zu einem wichtigen Werkzeug entwickelt, um Schwachstellen in Softwaresystemen frühzeitig entdecken zu können. Durch die Entdeckung von prominenten Fehlern, wie dem Heartbleed-Bug, erfährt diese Testtechnik eine steigende Beliebtheit. Dies hat zu der Entwicklung von immer fortschrittlicheren Fuzzern und Fuzz-Techniken geführt. Diese Arbeit betrachtet Fuzzing vor dem Hintergrund der kommerziellen Softwareentwicklung. Dabei wird diese Technik im Kontext der Theorie von Softwaretests eingeordnet und die Frage untersucht, wie sie in den Testprozess integriert werden kann. Es werden verschiedene Formen von Fuzz-Tests vorgestellt und dabei besonders die Sachverhalte im Detail erklärt, die in vielen Dokumentationen nicht erklärt oder als gegebenes Wissen angenommen werden. Auf diese Weise soll dem Leser der Übergang von einem Einsteiger zu einem erfahrenen Anwender erleichtert werden. Im Anschluss wird die Funktionsweise gängiger Sanitizer erklärt, welche häufig mit Fuzz-Tests kombiniert werden. Abschließend wird Structure-Aware Fuzzing, durch Kombination von libFuzzer mit Googles Protocol Buffern, als vielversprechende Technik vorgestellt und untersucht.