McAfee Foundstone entwickelt Open-Source-Tool für automatisierte Penetrationstests

Vulnerabilities in Web-Service-Implementierungen identifizieren

(16.07.05) - Foundstone Professional Services, die Security Services Group von McAfee, bietet ab sofort mit "WSDigger 1.0" ein neues Open-Source-Werkzeug an, das Vulnerabilities in Web-Service-Implementierungen identifizieren kann. Das neue Tool automatisiert die als Penetrations-tests bekannten Black-Box-Style-Security-Tests für Web-Dienste. Da das Test-Framework als Open-Source-Werkzeug bereit steht, können Anwender eigene Plugins entwickeln und bereit-stellen. WSDigger 1.0 umfasst bereits Beispiel-Plugins für folgende Angriffe: SQL-Injection, Cross-Site-Scripting und X-PATH-Injection-Attacks. Dank der Offenlegung des Quellcodes können Benutzer Plugins auch selbst schreiben und somit das Tool besser an ihre Bedürfnisse anpassen oder es für den Test spezifischer Anwendungen erweitern. Das Entwickler-Tool steht einschließlich Source Code auf der Foundstone-Website zum Download bereit.

WSDigger verwendet den Black-Box-Penetrations-Testansatz und simuliert bei seinen Angriffen einen böswilligen Anwender, der über keine internen Kenntnisse über die Software verfügt, die auf dem Web-Server läuft. Das Werkzeug operiert als Web-Service-Client, der selbst festlegt, wie er mit dem Web-Dienst interagieren möchte und den User dazu auffordert, Entscheidungen zu fällen. Die Vorgehensweise des Tools lässt sich in vier einfachen Schritten beschreiben: Erkennung von Diensten, Ermittlung des Angriffsvektors, Test von Exploits und Analyse. (McAfee: ma)