EXJOBBSOPPOSITION Rapportförfattare: Hanif Farahmand Mokarremi Ashkan Jahanbakhsh Rapportens titel: Domän-Webb-Applikations-Fuzzer(DWAP) introduktion och implementation Opponent: Viktor Gummesson
Var det lätt att förstå vad ex-jobbet gick ut på? Abstractet, sammanfattningen och inledningen summerar upp på ett effektivt sätt vad ex-jobbet går ut på. Resten av ex-jobbet speglar även vad som lovats i Abstractet, sammanfattningen och inledningen bra. Förutom den lovade testningen på CSCs rapp-system. Då det övergripligt är bra finns det en sak som är vagt och som saknas. Då författarna säger att Fuzzing eller fuzz-testning är en automatiserad testningsm för datorprogram är väldigt generellt. Testningm för dataprogram kan testa e program för väldigt många olika saker. Man hade velat v lite mer om vad d är som testas på dataprogrammen redan här. D blir dock sedan i ex-jobb klart vad d handlar om. Hur tycker du att titeln avspeglar rapportens innehåll? Titeln med undertitel lyder som följande, Domän-Webb-Applikations-Fuzzer (DWAP) introduktion och implementation. Då väl ex-jobbet handlar om Domän-Webb-Applikations-Fuzzer (DWAP) och en implementation, om läsaren inte hört talas om fuzzing från tidigare så säger denna titel inte mycket. En mer ingående undertitel hade kanske varit att föredra. Hur beskrev författaren bakgrunden till ex-jobbet? Finns det en introduktion till och översikt av området? Då en del av ex-jobbet är dedicerad till att förklara behovet av fuzzing och förklara de viktiga delarna i en fuzzer kommer bakgrunden naturligt och bra in rapporten. Först kommer en presentation till olika delar av testningsmetoder av program där sedan det dras bra paralleller till fuzzing. Man får en bra överblick av vad fuzzing tillämpas till. Det kommer dedicerade delar av rapporten till att förklara ingående hur fuzzing fungerar och vilka typer av sårbarheter som fuzzing exploaterar. Detta är bra uppbyggt och lätt att ta till sig och följa med i medan man läser. Ger även en bra grund att stå på för att lätt förstå kommande delar i rapporten.
Metod, hur har och hur väl har författaren motiverat sitt val av metod/metoder att angripa problemet? Något som saknas? Då en stor del utav ex-jobbet går ut på att förklara och beskriva fuzzing och det som kommer omkring det, Crawler m.m. Det har författarna löst via att använda fakta och referenser. Detta har uppnåtts på ett bra sätt och med legitta källor. Sedan vid implementation är det mer val att göra för att lösa implementationen. Här sprids motivationer ganska starkt för olika delar i implementationen. För de flesta delar beskrivs olika valmöjligheter av metoder att ta till. Vid Crawler skall det användas någon algoritm för att hitta länkar osv. Här motiveras valet tydligt. Medan vid andra delar presenteras olika valmöjligheter och en väljs utan någon vidare direkt motivation. Vissa delar är valda av självklarhet. En sak som sticker ut är att det inte berättas om i vilken utvecklingsmiljö implementationen har gjorts. Diskuterar författaren huruvida de förutsättningar som gäller för att metoden ska kunna användas är uppfyllda? Författarna har tydligt punktat upp vad som krävs för deras implementation. Här vissas också hur de löser dessa förutsättningar. Har författaren presenterat sina resultat tydligt? Det visas med konkreta exempel med bilder då de har testat sin fuzzer på olika scenarier. Med tillgående bilder där resultaten från de visas, även beskrivna bra i text. Korrektheten av resultaten stärks och utav att författarna kontrollerar resultaten och visar det. Finner du författarens slutsatser trovärdiga? De slutsatser som dras känns logiska. Men de presenterar för lite data för att dra de slutsatser författarna har gjort.
Vad tycker du om litteraturlistan? Vilken typ av litteratur finns med? Förefaller litteraturen relevant? Litteraturlistan innehåller väsentliga referenser som har med ämnet att göra och är nödvändiga för rapporten. Dock så är det några delar som refereras till enbart wikipedia, hade varit bra om sagts vilka referenser som används av på de respektive wikipedia referenserna. Vilka avsnitt i rapporten var svåra att förstå? Hela rapporten håller en hög klass på ett bra metodiskt sätt förklara allt som sker. Dock finns det vissa exempel som kan vara svåra att hänga med. Under punkt 3.1 visas ett exempel i form av ett kodstycke. Då koden är simple nog följer inte någon förklaring runt om exemplet. Övriga kommentarer om rapporten och dess struktur. Innehålls mässigt bra men grammatisk uppbyggnad fel på vissa ställen som gör inte förstår först och lär läsa om. Uppdelningen av information är inte 100%, sid brytningar på olämpliga ställen. All innehåll i rapporten är dock bra uppdelat i dess olika rubriker och kommer i en bra ordning. Vilka är arbetets/rapportens starka sidor? All information är lättbegriplig. Man som läsare får det lätt att hänga med och förstå vad som händer. De tekniska delarna blir då väldigt lätt att begripa.
Vilka är arbetets/rapportens svaga sidor? Inte veta vilken nivå på teknisk kunskap som begärs av läsaren. I vissa fall beskrivs tekniska termer ingående medan vid andra termer av samma nivå sägs det inte mycket om. Ett stort minus är att författarna misslyckas med att utföra ett test vilket de utlovar i början av rapporten. De nämns även i diskussionen att de inte lyckats utföra detta där de också säger att det är ett av huvudsyftet med rapporten. Hur bedömer du arbetets nyhetsvärde? Inget nytt blir framlagt. Vilket inte häller var menat med rapporten. Vilket är ditt sammanfattande omdöme om exjobbet? I helet är det en helt okej rapport. Lät läslig och författarna får det att bli intressant läsning. Som sagt är det en besvikelse att ett av huvudtesterna som blir utlovat, testa CSCs rapp-system, inte går att genomföras.