Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 75398

Heise Gruppe GmbH & Co KG Karl-Wiechert-Allee 10 30625 Hannover, Deutschland http://www.heise-gruppe.de
Logo der Firma Heise Gruppe GmbH & Co KG
Heise Gruppe GmbH & Co KG

IT-Profimagazin iX über Internetsicherheit / Websicherheitswerkzeuge auf dem Prüfstand

(PresseBox) (Hannover, )
Um Schwachstellen in Webanwendungen aufzuspüren, sollte man sich nicht allein auf so genannte Sicherheitswerkzeuge verlassen. Diese Test-Tools stellen für den Benutzer zwar eine große Hilfe dar, sind aber noch nicht so ausgereift, dass sie das manuelle Überprüfen komplett ersetzen können, schreibt das IT-Profimagazin iX in der aktuellen Ausgabe 10/2006.

Prüfwerkzeuge für Webanwendungssicherheit sind nützlich: Sie nehmen dem Benutzer mühsame Arbeit ab, indem sie die Webseite vollständig erkunden und alle "interessanten" Objekte wie Formulare, Passwortfelder, HTML-Kommentare und verdächtige Dateien auflisten. Außerdem testen die Werkzeuge verschiedene Eingabepunkte wie Parameter, Request-Header-Felder, Cookies mit standardisierten Angriffen - zumindest in der Theorie. Denn im iX-Praxistest zeigten alle Werkzeuge in dem ein oder anderen Punkt noch Schwächen, die in der Regel eine Kontrolle durch den menschlichen Experten unabdingbar machen.

Die kommerziellen Produkte bieten ohne Zweifel mehr als die freien. Neben der Kernfunktion des Findens von Schwachstellen bieten sie noch Erläuterungen der Hintergründe zu den verschiedenen Typen von Angriffspunkten. Darüber hinaus helfen sie bei der Auswahl einer Prüf-Policy und bei der Erzeugung eines Prüfberichts. Innerhalb der Gruppe der kommerziellen Werkzeuge bietet im Hinblick auf Funktionsvielfalt und Benutzbarkeit WebInspect spürbar mehr als AppScan. Die einzig ernst zu nehmenden Kandidaten für ein integriertes Prüfwerkzeug unter den freien Werkzeugen sind WebScarab und Burp.

Als Hauptfaktor bei der Entscheidung zwischen freien und kommerziellen Werkzeugen gilt die Einsatzhäufigkeit: Für hauptberufliche Websicherheitsprüfer lohnen sich die Investitionen in eines der kommerziellen Werkzeuge eher als für allgemeine Sicherheitsexperten oder Qualitätssicherer, die nur gelegentlich die Sicherheit einer Webanwendung prüfen.

"Zum heutigen Zeitpunkt haben die kommerziellen Angebote mit ihrer Automatisierung noch ein Alleinstellungsmerkmal. Sobald die freien Werkzeuge ihre oft schon vorhandenen Funktionen besser integriert und automatisiert haben, dürfte sich die Frage nach dem Kosten-Nutzen-Verhältnis allerdings erneut stellen", urteilt iX-Redakteurin Ute Roos. (ur)

Links in diesem Artikel:
http://www.heise-medien.de/...
http://www.heise.de/ix/
http://www.heise-medien.de/...
mailto:sylke.wilde@heise-medien.de

Heise Gruppe GmbH & Co KG

heise jobs ist die IT-Jobbörse unter dem Dach von heise online (www.heise.de [1]). Der renommierte Internet-Auftritt mit seinem umfangreichen News- und Service-Angebot ist täglicher Treffpunkt für Computerprofis und IT-Interessierte. Mit über 709.838 PageImpressions im Monat (IVW 04/08) gehört heise jobs zu den führenden IT-Jobbörsen Deutschlands. heise online zählt laut IVW zu den meistbesuchten deutschen Special-Interest-Angeboten.

Eingebunden in dieses kontaktstarke Medium bietet heise jobs Personalverantwortlichen die optimale Zielgruppe für die Mitarbeiterrekrutierung in den Bereichen Informationstechnologie und Telekommunikation.

Für die oben stehenden Storys, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2024, Alle Rechte vorbehalten

Für die oben stehenden Storys, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.