Mit FuzzDB wurde im Mozilla Security Blog eine Datenbank mit bekannten Angriffsmustern, einer nach Betriebssystemen vorsortierten Sammlung bekannter Logdateien, Administrationsverzeichnisse, regulären Ausdrücken zur Auswertung von Antworten angegriffener Server und Dokumentationsmaterialien vorgestellt. Das Material ist vorrangig zur Absicherung von Webanwendungen gedacht, doch scheint es auch für andere Bereiche wertvoll zu sein.

Autor Adam Muntner macht als konkrete Einsatzszenarien Penetrationstests von Webanwendungen mit Werkzeugen wie OWASP Zap oder der Burp Suite aus sowie die Basis für gute Testfälle zu schaffen. Die Datenbank kann außerdem beim Aufsetzen neuer automatisierter Sicherheitslücken-Scanner und manuell eingesetzter Penetrationstestwerkzeuge eingesetzt werden. Wiederum kann die Berücksichtigung der Patterns helfen, sichere Webanwendungen zu entwickeln.

Bei Beteiligung weiterer Zuträger hat das bei Google Code quelloffen unter der "Creative Commons Attribution"-Lizenz gehostete Projekt das Potenzial, vergleichbare Ressourcen proprietärer Testwerkzeuge im Sicherheitsbereich zu übertreffen. Diese wären den Open-Source-Pendants derzeit aber noch voraus, meint Muntner.

(ts, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE