Automatisierter Security Crash-Test für Web-Applikationen Options

von tonja vom 06.07.2019 - 102 Hits -

Gegen unerlaubten Zugriff auf Daten im Unternehmensnetzwerk setzen mittlerweile die meisten Unternehmen entsprechende Security-Lösungen ein. Doch der Sicherung ihrer Web-Applikationen schenken sie so wenig Beachtung wie kaum einem anderen Sicherheitsaspekt. Das Hacken von Web Applikationen wird jedoch immer beliebter – 75 % der Internet-Angriffe erfolgen über nicht sichere Web-Applikationen. Es gilt also auch diese Anwendungen auf Schwachstellen zu überprüft und sie gegen Angriffe abzuschirmen, denn über sie ist vielfach ein direkter Zugriff auf die wichtigsten und wertvollsten Unternehmensdaten möglich.

Der Acunetix Web Vulnerability Scanner führt eine Tiefenprüfung einer Web-Site durch, um Anfälligkeiten für SQL-Injection, Cross-Site-Scripting (XSS) und andere Arten des Web-Angriffs aufzuspüren, bevor diese von Hackern entdeckt und ausgenutzt werden können. Folgende Aspekte werden dabei vollautomati-siert und effizient überprüft:

- Kontrolle der gesamten Website auf Schwachstellen für Web-Angriffe
- Vollautomatische Suche nach SQL-Injection- und Cross-Site-Scripting Schwachstellen
- Kontrolle der Passwort-Sicherheit auf den Login-Seiten (HTTP- oder HTML-Formulare)
- Scannen der integrierten JavaScript/AJAX-Anwendungen nach Sicherheitslücken
- Vollautomatische Überprüfung der Einkaufswagen, Formulare, dynamischen Inhalte und anderer Web-Applikationen auf angreifbare Schwachstellen
- Erstellung professioneller Kontrollberichte zur Website-Sicherheit

Neue Features der Version 5.0
- Compliance Reporting: Version 5.0 liefert detailliertes Compliance Reporting nach Open Web Application Security Project (OWASP), Payment Card Industry Data Security Standard (PCI DSS), Sarbanes-Oxley, Web Application Security Consortium und HIPAA
- Subdomain Scanner: Der Subdomain Scanner erlaubt eine schnelle und einfache Identifikation aktiver Subdomains durch Einsatz unterschiedlicher Technologien und die automatische Berechnung gebräuchlicher Subdomain Namen. Der Subdomain-Scanner kann entweder so konfiguriert werden, dass er den Domain Name System (DNS)-Server des Ziels benutzt oder zur vollen Flexibilität auch User-spezifisch arbeitet.
- Web Services Scanner: Der Web Services Scanner erlaubt ein automatisiertes Scannen von Web Services auf deren Angreifbarkeit und generiert einen detaillierten Sicherheitsbericht der Ergebnisse.
- Web Services Editor: Der Web Services Editor erlaubt den Import von Online- oder lokalen Web Services Description Languages (WSDL), um Web Service Transaktionen individuell über verschiedene Port-Typen editieren und umsetzen zu können, um eine Tiefenprüfung der WSDL Abfragen und Antworten zu erhalten. Der Editor umfasst auch Syntax Highlighting für alle Sprachen, um einfach SOAP Header verfassen und eigene manuelle Angriffe individuell anpassen zu können.
- Auswahl der Files einer Site Struktur: Diese häufig geforderte Funktion ermöglicht die Auswahl individueller Files und Ordner aus einer Seitenstruktur, so dass eine kontinuierliche Visualisierung der gescannten Inhalte möglich ist.
- Auswahl der Scanning Methode: Jeder Scan kann nun wahlweise mit nur einer Methode oder auf alle drei unterschiedliche Methoden durchgeführt werden: schnell, heuristisch, vollständig. Jeder Modus bietet unterschiedliche Herangehensweisen, um eine Website zu testen, die immer einen Kompromiss zwischen Genauigkeit und Geschwindigkeit bedeuten.
- Reporting Applikation: Die Reporting Funktionalitäten des WVS wurden überarbeitet und in eine eigene Applikation integriert, die nun Reporting Formulare für Entwickler, Führungskräfte, Scan-Abgleiche, Statistiken und Compliance Reporting unterstützt.
- Passwort Schutz: WVS und seine unterstützenden Anwendungen (wie Reporter, Scheduler, Vulnerability Editor, etc.) können nun per Passwort vor unbefugtem Zugriff geschützt werden.
- Signifikant reduzierte Datenbankgröße: Obwohl die Datenbank nun umfangreichere Möglichkeiten bietet, konnte ihre Größe um 90% reduziert werden. Da hierzu eine neue Datenbankstruktur entwickelt wurde, benötigt man zum Upgrade von älteren Versionen des WVS ein Konversions-Werkzeug, das Acunetix zur Verfügung stellt.
- Verbessertes Steuerprogramm: Das Steuerprogramm unterstützt in der neuen Version weitere Methoden, einen Scan zu starten sowie unterschiedliche Ausgabearten, beispielsweise ein Ergebnisdokument zu gesicherten Scans oder Reports. Auch Web Service Scans werden unterstützt. Zudem sendet das Programm eine Mail-Nachricht bei Abschluss des Scans.
- Unterstützung von Microsoft Windows Vista
- Überarbeitetes Benutzerinterface und zahlreiche weitere Neuerungen

[Kommentar schreiben]

Ich möchte eine Frage im Forum stellen