Web Vulnerability Scanner

In den meisten Fällen prüft die Applikation nicht nur die Applikation selbst, sondern erkennt auch Schwächen im Web-Server und kontrolliert die allgemeinen sicherheitsrelevanten Voreinstellungen. Beispielsweise erscheint das Programm bei der Integration von Anmeldeformularen auf einer Webseite immer dann, wenn die Verwendung des Netzwerkprotokolls SSL (SSL: SSL: SSL) ausfällt. Der Web Vulnerability Scanner stellt daher die passende Antwort auf dieses Thema dar.

Der folgende Test konzentrierte sich auf die folgenden drei Kriterien: Im Grunde macht es keinen Sinn, einen Web Vulnerability Scanner in einer produktiven Umgebung zu prüfen, da dann die Datenbasis oder andere wichtige Bereiche der geprüften Website vernichtet werden könnten. Daher sollten Schwachstellen-Scans in einer gesicherten Umgebung durchgeführt werden, die sich leicht wieder in ihren Ursprungszustand versetzen lässt.

Hinsichtlich des Testverfahrens führten die Entwickler die Scanner zunächst gegen die häufig empfohlenen Testseiten vulnweb.com von Acunetix aus. Im zweiten Teilschritt werden die Werkzeuge zudem in einer selbstkonfigurierten Umwelt (OWASP Mutillidae) getestet, um genauere Prüfergebnisse in einer gesteuerten, herstellerunabhängigen Umwelt zu erwirken.

Die Benutzeroberfläche und der Konfigurationsspielraum von Networksparker bestechen durch eine intuitiv verständliche und klare Bedienung, die besonders ungeübten Anwendern den großen Nutzen bringt, das Werkzeug auch mit wenig Erfahrungen mit Eindringversuchen wirkungsvoll einsetzen zu können. Schon die Standard-Installation von Netsparker erlaubt den Direktanschluss des Lesegeräts an das weit verbreitetes Jira-Ticket-System von Atlassian.

Über die webbasierte Applikation kann ein Fahrschein mit allen notwendigen Parametern wie "zugeordnet" oder "Kategorie" erstellt werden, sobald der Scanner eine Verwundbarkeit oder Lücke aufspürt. Während dieser Zeit hat Netzsparker 21 entscheidende, 24 bedeutende, vier mittlere, acht tiefe und zehn formlose Fundstücke gemeldet. Allerdings hat diese Funktionalität im Versuch nicht reagiert, vielleicht liegt es an der Evaluierungsversion der Simulation.

Abgesehen vom Schwachstellen-Scan selbst hat Netsparker keine weiteren Funktionalitäten. Zunächst wird der Test (Netsparker und Acunetix) gegen testphp.vulnweb.com durchgeführt. Wenn Sie Acunetix starten, stehen Ihnen im Tool Explorer auf der rechten Bildschirmseite eine ganze Palette von Konfigurationsoptionen und Werkzeugen zur Verfügung. Damit das volle Potential der Anwendung im Penetrationstest ausgeschöpft werden kann, braucht der Anwender viel Know-how und Schulung.

Acunetix ist in seinen Einstellungen sehr gut abgestuft. Acunetix hat außerdem einen zusätzlichen Modus für Webdienste. Mit Acunetix steht eine weitere Software-Komponente zur Verfügung, die in den serverbasierten Quellcode integriert werden kann und mit dem Scanner kommuniziert. Mit Hilfe des so genannten Acunetix-Sensors ist es möglich, die entscheidenden Codepunkte mit Hilfe des auf dem Datenserver integrierten Codes/Moduls unmittelbar zu erkennen.

Daraus resultiert ein hohes Maß an Detailtreue beim Einscannen. Im Testlauf zeigte Acunetix 94 entscheidende, 49 bedeutende, vier mittlere, acht tiefe und zehn formlose Befunde. Acunetix ermöglicht neben dem üblichen Schwachstellen-Scan auch das Überprüfen von SOAP-Webservices. Umgekehrt kann ein Versuch gegen einen Standort mit einer unbekannten Zahl von Schwachstellen nur als grobe Orientierung gelten (z.B. hinsichtlich des Bedienkonzeptes, der Programmgestaltung, des Funktionsumfangs oder der Konfigurierbarkeit).