Security vulnerabilities are a serious concern in today’s software development. Complex software applications and systems may contain flaws that can be exploited by a remote attacker to execute malicious code. One method of finding vulnerabilities and bugs is by using a method of robustness testing, fuzzing. Fuzzers are mostly automated tools that are used to find flaws and unexpected behavior in the system under test.
Nowadays it is not uncommon to have multiple fuzzers running simultaneously on different systems in order to find bugs more efficiently. Although the fuzz testing process is mostly automated, there can be value in providing information about the testing process and its results in a visual form.
This work studies the use of data visualization techniques in monitoring fuzz testing processes. This is accomplished by developing a network based monitoring system that collects and visualizes test data. The monitoring system is used to run test scenarios and simulations to study the usefulness of data visualization, and its different techniques in fuzz testing.
The results from the performed case studies show that two-dimensional visualization techniques can effectively provide useful information about the fuzz testing process. The results also indicate that interactive visualization techniques are especially useful for testing process monitoring scenarios. / Tärkeä osa nykypäivän ohjelmistokehitystä on mahdollisten tietoturva-aukkojen löytäminen ja paikkaaminen. Etenkin monimutkaiset ohjelmistot ja järjestelmät voivat sisältää virheitä, joita ulkopuolinen taho voi käyttää haitallisen toiminnan ajamiseen tietokoneella. Yksi keino tietoturva-aukkojen löytämiseen on fuzz-testauksen käyttäminen. Fuzzerit ovat enimmäkseen automatisoituja ohjelmia, joita käytetään löytämään tilanteita, joissa ohjelmisto kaatuu tai käyttäytyy odottamattomasti. Nykyään on yleistä käyttää useita fuzzereita rinnakkain eri järjestelmissä, jotta ohjelmistovirheitä löydettäisiin tehokkaammin. Fuzz-testauksen valvonta, varsinkin useiden järjestelmien tilanteissa, voi hyötyä testausprosessin tiedon esittämisestä visuaalisin keinoin.
Tässä työssä tutkitaan datan visualisoinnin tekniikoita fuzz-testauksen valvonnan yhteydessä. Työssä kehitetään verkkopohjainen valvontajärjestelmä, joka kerää ja visualisoi testidataa muilta järjestelmiltä. Valvontajärjestelmää käytetään visualisoimaan dataa sekä yksittäisestä fuzzerista, että laajemmista monen fuzzerin simulaatioista.
Saatujen tulosten perusteella nähdään, että kaksiulotteisten visualisointitekniikoiden avulla voidaan saada hyödyllistä ja helposti ymmärrettävää tietoa fuzzausprosessista. Tulosten mukaan erityisen hyödyllisiksi fuzzauksen valvonnassa osottautuivat visualisaatiot, jotka tarjoavat interaktiivisuutta käyttäjälle.
| Identifer | oai:union.ndltd.org:oulo.fi/oai:oulu.fi:nbnfioulu-201405271506 |
| Date | 27 May 2014 |
| Creators | Vainio, J. (Jarmo) |
| Publisher | University of Oulu |
| Source Sets | University of Oulu |
| Language | Finnish |
| Detected Language | Finnish |
| Type | info:eu-repo/semantics/masterThesis, info:eu-repo/semantics/publishedVersion |
| Format | application/pdf |
| Rights | info:eu-repo/semantics/openAccess, © Jarmo Vainio, 2014 |
Page generated in 0.0021 seconds