Az e-Szignó alkalmazás sebezhetőségvizsgálata

OData támogatás
Konzulens:
Dr. Buttyán Levente
Hálózati Rendszerek és Szolgáltatások Tanszék

Egy komplex rendszerről sosem tudhatjuk, hogy mikor derülnek ki róla hibák. Bármilyen intézkedések történnek a megelőzésre, szinte biztos, hogy idővel kiderülnek a kezeletlen program hibák. Ezt a rohamos számítási kapacitás fejlődése is árnyalja.

A kitűzött feladat, egy alaposan tesztelt, szigorú követelményeknek és előírásoknak megfelelő digitális aláírás és időbélyeg kezelő alkalmazás fekete doboz tesztelése. A teszt alanya a Microsec zrt. e-Szignó alkalmazása. A vizsgálat célja az alkalmazás kommunikációjának sérülékenység-vizsgálata az Online Certificate Status Protokol-al és az időbélyeg szolgáltató protokollal.

A megvalósítás során részletezésre került a fuzzy black box tesztelési technika két típussal. Az egyik a generational alapú, például az american fuzzy lop, a másik a template módon tesztelő Sulley. ASN.1 DER kódolásra – a Sully-hoz – az asn1c dekódert alkalmaztam.

Az elkészült sérülékenységi vizsgálati jelentés tartalmazza a tesztelés statisztikai összegzését és hibák elemzését. Az afl-el – a vizsgálatok során – segmentation fault típusú hibát találtam. A kinyerhető adatok elemzésével a hiba nem kihasználható és nagy valószínűséggel NULL értékű változó helytelen kezelése okozza. A talált hiba az e-Szignó issue tracker-be rögzítésre került és a javítása folyamatban van.

Letölthető fájlok

A témához tartozó fájlokat csak bejelentkezett felhasználók tölthetik le.