Web Application Scan

Schwachstellen in Webanwendungen haben sich zum Hauptvektor für Angriffe auf die Unternehmens-sicherheit entwickelt. Wenn man von Exploits hört, die sensible Daten kompromittieren, ist vielfach von Angriffen wie „Cross-Site Scripting“, „SQL-Injection“ oder „Konfigurationsfehlern auf Websites“ die Rede. Schwachstellen dieser Art fallen oft nicht in den traditionellen Kompetenzbereich von Netzwerk-Sicherheitsmanagern. Deshalb bleiben Sicherheitslücken in Webanwendungen vergleichsweise häufig unentdeckt und lassen sich somit gut für Angriffe ausnutzen. Wie schon viele Unternehmen feststellen mussten, umgehen solche Angriffe die herkömmlichen Abwehrmechanismen in Netzwerken, sofern keine aktuellen Vorsichtsmaßnahmen eingeleitet werden. Gründe für Schwachstellen in Webanwendungen sind in der Regel falsche Konfigurationen oder Programmierfehler, die sich beim Einsatz einer Programmier-sprache (z.B. Java, .NET, PHP, Python, Perl, Ruby), in einer Code- Bibliothek, einem Entwurfsmuster oder einer Architektur ergeben. Diese Schwachstellen können komplex sein und unter verschiedensten Umständen auftreten.

Vergrößerung

Die Lösung: QualysGuard Web Application Scan

Um die Kunden bei der Analyse und Verfolgung von Schwachstellen in Webanwendungen zu unterstützen, hat Qualys® die QualysGuard® Security and Compliance Suite um eine neue Komponente erweitert – QualysGuard Web Application Scanning (WAS) 1.0. Dieser neue, on demand bereitgestellte Service ermittelt durch Crawlen und Testen die meisten Schwachstellen in kundenspezifischen Webanwendungen, wie sie etwa in den OWASP Top 10 und der WASC Threat Classification aufgeführt sind. Dazu zählen beispielsweise SQL-Injection und Cross-Site Scripting. Über die vertraute QualysGuard-Bedienoberfläche können die Benutzer Webanwendungen verwalten, Scans starten und Berichte erzeugen.

So Funktioniert der Web Application Scan

Crawler-Phase
Die hoch entwickelte Scanning Engine setzt eine Reihe verschiedener Techniken für effektives Website-Crawling ein. Der Crawler benötigt nur einen Benutzernamen und ein Passwort, um automatisch ein HTML-Login-Formular zu identifizieren, ein Profil des Authentifizierungsprozesses zu erstellen und den Sessionstatus zu überwachen und damit zu gewährleisten, dass ein Scan mit Authentifizierung während des gesamten Crawling-Vorgangs authentifiziert bleibt. Der Crawler versucht, so viele Funktionalitäten der Ziel-Website wie nur möglich zu erfassen, indem er Breite und Tiefe des Crawling- Prozesses steuert und zudem redundante oder rekursive Links meidet. Außerdem erstellt der Crawler ein Profil der spezifischen Verhaltensweisen der Ziel- Website, wie etwa der Anzeige von Default-Fehlerseiten, und nutzt die so gewonnenen Informationen, um in der Testphase Fehlalarme zu reduzieren.


Testphase
In der Testphase sucht WAS nach gängigen Schwachstellen wie SQL-Injection, Cross-Site Scripting, Offenlegung von Quellcodes und Directory-Traversal. Mithilfe einer Kombination aus Signaturen und Profilerstellung kann die Test Engine genau ermitteln, ob Schwachstellen vorhanden sind. Derzeit fokussieren die Tests auf Fault-Injection-Probleme und unterscheiden zwischen ausnutzbaren Schwachstellen und einfacher Offenlegung von Informationen, wo immer dies möglich ist.


Überprüfung und Reporting
Die Reporting-Engine untergliedert die Probleme für jede einzelne Website nach Schwachstellentypen wie etwa Cross-Site Scripting oder SQL-Injection und liefert zudem zusammenfassende Schwachstellen-informationen für Gruppen von Webanwendungen. Darüber hinaus bietet QualysGuard WAS einen neuen Mechanismus zur Verwaltung der Benutzerzugriffe für einzelne Scans von Webanwendungen und unterstützt damit unterschiedliche Workflows für Schwachstellentests und Schwachstellenbehebung.



Klare Vorteile

  • Senkt durch Automatisierung wiederholbarer Testprozesse die Gesamtbetriebskosten
  • Ermittelt auf Syntax und Semantik basierende Schwachstellen in unternehmensspezifischen Webanwendungen
  • Erstellt ein Profil der Zielanwendung und führt Crawling und Auditing mit Authentifizierung durch
  • Erhöht durch die Erstellung eines Website-Profils die Genauigkeit und reduziert Fehlalarme

Testen Sie jetzt QualysGuard Web Application Scanning kostenlos und unvebindlich hier


Qualys Guard Web Application Scanning

Erfahren Sie hier mehr über einen Web Application Scan mit TULOCK


Leistungsmerkmale

  • Crawling & Link-Erkennung
    Ein eingebetteter Webcrawler parst HTML und teilweise JavaScript, um Links zu extrahieren. Er steuert automatisch die Breite und Tiefe der gefundenen Links, und kann so bis zu 5.000 Links pro Webanwendung scannen.
  • Authentifizierung
    HTTP Basic-, Digest- und serverbasierte NTLM -Authentifizierung. Einfache Formularauthentifizierung.
  • Black List
    Verhindert, dass der Crawler bestimmte Links in einer Webanwendung besucht.
  • White List
    Weist den Crawler an, nur Links zu besuchen, die in dieser Liste ausdrücklich aufgeführt sind.
  • Performance-Tuning
    Benutzerdefinierte Bandbreite für paralleles Scannen, um die Auswirkungen auf die Leistung der Webanwendung zu steuern.

 

Postanschrift

TULOCK Aktiengesellschaft
Bergstraße 7
D-66121 Saarbrücken



Telefon: +49 (0) 681 94 0000-0
Telefax: +49 (0) 681 94 0000-99