Prüfwerkzeuge für Webanwendungssicherheit sind nützlich: Sie nehmen dem Benutzer mühsame Arbeit ab, indem sie die Webseite vollständig erkunden und alle "interessanten" Objekte wie Formulare, Passwortfelder, HTML-Kommentare und verdächtige Dateien auflisten. Außerdem testen die Werkzeuge verschiedene Eingabepunkte wie Parameter, Request-Header-Felder, Cookies mit standardisierten Angriffen - zumindest in der Theorie. Denn im iX-Praxistest zeigten alle Werkzeuge in dem ein oder anderen Punkt noch Schwächen, die in der Regel eine Kontrolle durch den menschlichen Experten unabdingbar machen.
Die kommerziellen Produkte bieten ohne Zweifel mehr als die freien. Neben der Kernfunktion des Findens von Schwachstellen bieten sie noch Erläuterungen der Hintergründe zu den verschiedenen Typen von Angriffspunkten. Darüber hinaus helfen sie bei der Auswahl einer Prüf-Policy und bei der Erzeugung eines Prüfberichts. Innerhalb der Gruppe der kommerziellen Werkzeuge bietet im Hinblick auf Funktionsvielfalt und Benutzbarkeit WebInspect spürbar mehr als AppScan. Die einzig ernst zu nehmenden Kandidaten für ein integriertes Prüfwerkzeug unter den freien Werkzeugen sind WebScarab und Burp.
Als Hauptfaktor bei der Entscheidung zwischen freien und kommerziellen Werkzeugen gilt die Einsatzhäufigkeit: Für hauptberufliche Websicherheitsprüfer lohnen sich die Investitionen in eines der kommerziellen Werkzeuge eher als für allgemeine Sicherheitsexperten oder Qualitätssicherer, die nur gelegentlich die Sicherheit einer Webanwendung prüfen.
"Zum heutigen Zeitpunkt haben die kommerziellen Angebote mit ihrer Automatisierung noch ein Alleinstellungsmerkmal. Sobald die freien Werkzeuge ihre oft schon vorhandenen Funktionen besser integriert und automatisiert haben, dürfte sich die Frage nach dem Kosten-Nutzen-Verhältnis allerdings erneut stellen", urteilt iX-Redakteurin Ute Roos. (ur)
Links in diesem Artikel:
http://www.heise-medien.de/...
http://www.heise.de/ix/
http://www.heise-medien.de/...
mailto:sylke.wilde@heise-medien.de