Certificate Fuzzer

 Download Certificate Fuzzer for Linux

Certificate Fuzzer ist ein Tool welches den Fuzz-Testing Ansatz auf die Validierung von X.509 Zertifikaten anwendet. Zu diesem Zweck liest das Tool ein syntaktisch korrektes X.509 Zertifikat in DER-Kodierung ein, um daraus nach verschiedenen Fuzzing-Methoden manipulierte Zertifikate zu erzeugen. Es kann die Zertifikate mit einer neuen Signatur versehen, die sie verifizierbar machen, sofern die Manipulationen am Zertifikat das zulassen. Die manipulierten Zertifikate lassen sich in einem Testbed einsetzen, um eine Implementierung, die X.509 Zertifikate verarbeitet, zu überprüfen. Einerseits lässt sich auf Speicherzugriffsfehler testen, indem man beispielsweise ein geeignetes Memory Debugging Tool wie Address Sanitizer oder Valgrind einsetzt. Andererseits lassen sich auch logische Validierungsfehler finden, indem überprüft wird, dass keine Zertifikate mit ungültiger Signatur angenommen werden.