Websicherheitswerkzeuge auf dem Prüfstand
IT-Profimagazin iX über Internetsicherheit

Hannover, 15. September 2006 - Um Schwachstellen in Webanwendungen aufzuspüren, sollte man sich nicht allein auf so genannte Sicherheitswerkzeuge verlassen. Diese Test-Tools stellen für den Benutzer zwar eine große Hilfe dar, sind aber noch nicht so ausgereift, dass sie das manuelle Überprüfen komplett ersetzen können, schreibt das IT-Profimagazin iX in der aktuellen Ausgabe 10/2006.

Prüfwerkzeuge für Webanwendungssicherheit sind nützlich: Sie nehmen dem Benutzer mühsame Arbeit ab, indem sie die Webseite vollständig erkunden und alle "interessanten" Objekte wie Formulare, Passwortfelder, HTML-Kommentare und verdächtige Dateien auflisten. Außerdem testen die Werkzeuge verschiedene Eingabepunkte wie Parameter, Request-Header-Felder, Cookies mit standardisierten Angriffen - zumindest in der Theorie. Denn im iX-Praxistest zeigten alle Werkzeuge in dem ein oder anderen Punkt noch Schwächen, die in der Regel eine Kontrolle durch den menschlichen Experten unabdingbar machen.

Die kommerziellen Produkte bieten ohne Zweifel mehr als die freien. Neben der Kernfunktion des Findens von Schwachstellen bieten sie noch Erläuterungen der Hintergründe zu den verschiedenen Typen von Angriffspunkten. Darüber hinaus helfen sie bei der Auswahl einer Prüf-Policy und bei der Erzeugung eines Prüfberichts. Innerhalb der Gruppe der kommerziellen Werkzeuge bietet im Hinblick auf Funktionsvielfalt und Benutzbarkeit WebInspect spürbar mehr als AppScan. Die einzig ernst zu nehmenden Kandidaten für ein integriertes Prüfwerkzeug unter den freien Werkzeugen sind WebScarab und Burp.

Als Hauptfaktor bei der Entscheidung zwischen freien und kommerziellen Werkzeugen gilt die Einsatzhäufigkeit: Für hauptberufliche Websicherheitsprüfer lohnen sich die Investitionen in eines der kommerziellen Werkzeuge eher als für allgemeine Sicherheitsexperten oder Qualitätssicherer, die nur gelegentlich die Sicherheit einer Webanwendung prüfen.

"Zum heutigen Zeitpunkt haben die kommerziellen Angebote mit ihrer Automatisierung noch ein Alleinstellungsmerkmal. Sobald die freien Werkzeuge ihre oft schon vorhandenen Funktionen besser integriert und automatisiert haben, dürfte sich die Frage nach dem Kosten-Nutzen-Verhältnis allerdings erneut stellen", urteilt iX-Redakteurin Ute Roos. (ur)