Seite 2: FTPStress Fuzzer

Inhaltsverzeichnis

FTPStress Fuzzer

FTP-Clients können FTP-Server durch eine Vielzahl von Befehlen steuern. Ein Großteil der Befehle erfordert die Angabe von Parametern, die der Server einlesen und auswerten muss. Gerade hier patzen FTP-Server oft, wenn etwa der übergebene Parameter größer als der reservierte Puffer ist. Aber auch Sonderzeichen können einen Server durchaus aus dem Tritt bringen. Das kostenlose Windows-Tool FTPStress Fuzzer des Herstellers Infigo testet sämtliche FTP-Befehle mit verschiedenen Parametern durch [2]. Der Anwender kann dabei festlegen, welche Befehle der FTP-Fuzzer an den Server schicken soll und in welchen Grenzen die Parameter manipuliert werden. Ein Parameter kann so etwa 200.000-mal den Buchstaben A oder 9000-mal eine vorgegebene Zeichenkette enthalten. Das Tool bietet hier bereits eine vordefinierte Liste möglicher Zeichenketten an, die es für jeden Befehl durchgeht. Alternativ kann der Anwender eine einzige Zeichenkette pro Befehl selbst angeben.

Ist die Konfiguration abgeschlossen, genügt ein Klick auf den Start-Knopf und der Fuzzer legt los. In seiner GUI zeigt FTPStress Fuzzer in einem Protokollfenster alle gesendeten Befehle und die dazugehörige Reaktion des Servers an. Bei einem Test des FTP-Servers ProFTP war schon nach kurzer Zeit keine weitere Verbindung zum Server mehr aufzubauen. Der FTP-Server hatte sich mit einem Absturz verabschiedet. Auf ähnliche Weise hat der Hersteller Infigo nach Fehlern in weiteren FTP-Servern gesucht und wurde fündig. Im G6 FTP Server, ArGoSoft FTP Server, FileZilla, WarFTPd und Golden FTP ließen sich die Fehler sogar zum Einschleusen von Code benutzen [3].

FTPStress Fuzzer ist leicht zu bedienen und gibt dem Entwickler eine Möglichkeit an die Hand, sein Programm zumindest hinsichtlich der Verarbeitung der Benutzerparameter auf grobe Schnitzer zu testen. Leider ermöglicht das Tool auch Script-Kiddies, verwundbare Server im Handumdrehen abzuschießen.