Schwachstellen-Scanner für Web-Anwendungen auf dem Markt

"hyperscan" überprüft Web-Applikationen mit intelligentem Crawl-Mechanismus

(04.09.08) - art of defence rundet ihr Portfolio mit einem Web Application Vulnerability Scan Server ab: "hyperscan" kann Web-Anwendungen auf Sicherheitslücken wie SQL-Injection oder Cross-Site-Scripting (XSS) von außen überprüfen - ohne Kenntnis des Quellcodes oder der IT-Infrastruktur. Somit ergänzt hyperscan klassische Schwachstellen-Scanner, die nach bekannten Sicherheits-lücken in Standardsystemen suchen. Geschäftsführer, CSOs/CIOs sowie Entwicklungsleiter haben dank der rollenbasiert aufbereiteten und automatisch generierten Reports jederzeit Überblick über den Sicherheitszustand ihrer Web-Anwendungen.

Der Web Application Vulnerability Scan Server erfasst den kompletten Aufbau einer Web-Applikation, indem er sich zum einen vom Entry-Point ausgehend mit einem intelligenten Crawl-Mechanismus durch die erreichbaren Links arbeitet. Bei der Prüfung dynamischer Website-Bereiche kann dieser Crawl-Mechanismus zum anderen durch manuelles Browsen ergänzt werden. Dies trägt vor allem bei der Erkennung von Schwachstellen in Web-Applikationen bei, die auf Javascript und Ajax basieren. Um Schwachstellen zu finden und aufzuzeigen, penetriert hyperscan die Anwendung mit verschiedenen Methoden und einer eigenen Datenbank, die Signaturen für bekannte Frameworks, Portale und Anwendungen enthält. Dieser Prozess ist vollständig automa-tisiert und kann in jeder beliebigen Phase des Applikationslebenszyklus eingeplant werden. hyperscan fügt sich in jeden bestehenden Entwicklungs-, Abnahme- und Auditing-Prozess ein. Außerdem ist paralleles Scannen und Crawlen mehrerer unabhängiger Projekte ohne Performance-einbußen möglich (Multi-Projekt-Fähigkeit) - für ein projektübergreifendes umfassendes Monitoring im zeitlichen Verlauf. Auch zur Überprüfung von Outsourcing-Leistungen kommt hyperscan zum Einsatz und spart Zeit bei der Abnahme fremd entwickelter Software-Projekte.

Die entdeckten Schwachstellen werden genau beschrieben und automatisch rollenbasiert aufbereitet - beispielsweise in Form von Compliance-Reports, unter anderem nach PCI, ISO 27001, ITIL, Basel II oder OWASP. Anwender erhalten einen Kurzüberblick über den aktuellen Sicherheits-zustand der Web-Applikation sowie einen chronologischen Ablauf, der wiedergibt, welche Schwachstellen gefunden wurden. Auch CSOs und CIOs haben dank eines kontinuierlichen Monitorings den Sicherheitsstatus der Webanwendungen stets im Blick und erhalten Informationen über Schweregrad und Typ der Verwundbarkeiten. Security-Mitarbeiter sind in der Lage, zu jeder Zeit ihre Anwendungen zu überprüfen und mögliche Schwachstellen an die Entwicklungsleiter zu reporten.

Mit den verschiedenen Möglichkeiten der automatisierten Kommunikation von Schwachstellen-informationen wie Import/Export via XML und AVDL (Application Vulnerability Description Language) passt sich hyperscan zudem gut in umfassendere Web-Application-Security-Konzepte ein, beispielsweise als Ergänzung weiterer Aktivitäten wie Web-Source-Code-Analysen oder dem Einsatz von Web Application Firewalls. (art of defence: ma)