FuzzDB hilft bei Sicherheitstests von Webapplikationen

Im Mozilla Security Blog wurde mit FuzzDB eine Datenbank mit bekannten Angriffsmustern, einer nach Betriebssystemen vorsortierten Sammlung bekannter Logdateien, Administrationsverzeichnisse, regulären Ausdrücken zur Auswertung von Antworten angegriffener Server und Dokumentationsmaterialien vorgestellt. Vorrangig ist das Material zur Absicherung von Webanwendungen gedacht, doch scheint es auch für andere Bereiche wertvoll zu sein.

Als konkrete Einsatzszenarien macht Autor Adam Muntner Penetrationstests von Webanwendungen mit Werkzeugen wie OWASP Zap oder der Burp Suite aus sowie die Basis für gute Testfälle zu schaffen. Außerdem kann die Datenbank beim Aufsetzen neuer automatisierter Sicherheitslücken-Scanner und manuell eingesetzter Penetrationstestwerkzeuge eingesetzt werden. Die Berücksichtigung der Patterns wiederum kann helfen, sichere Webanwendungen zu entwickeln.

Das bei Google Code quelloffen unter der "Creative Commons Attribution"-Lizenz gehostete Projekt hat bei Beteiligung weiterer Zuträger das Potenzial, vergleichbare Ressourcen proprietärer Testwerkzeuge im Sicherheitsbereich zu übertreffen. Diese wären dabei den Open-Source-Pendants derzeit aber noch voraus, meint Muntner. (ane)