Artikel

Web Application Vulnerability Scanners - a Benchmark

Web Application Vulnerability Scanners - a Benchmark - SAP Sicherheit, Compliance und Qualität

Wenn man die Entwicklung der Sicherheitsprobleme im Anwendungsbereich in den letzten Jahrzehnten betrachtet, scheint es so zu sein, dass ausnahmslos jede Software versteckte und unerwartete Sicherheitslücken aufweist – dies stellt ein wirklich schwerwiegendes Problem dar, besonders im Bereich der Internetanwendungen.

Ein möglicher Weg mit solch schwerwiegenden Mängeln umzugehen ist der Einsatz von Scannern, die nach Schwachstellen in Web-Anwendungen suchen.

Diese Scanner beruhen auf dem Prinzip der automatisierten Durchführung von Sicherheitsprüfungen; im Anschluss wird ein Report generiert, der die Fehler einer Applikation beschreibt. Viele Unternehmen verlassen sich auf diesen Ansatz. Dieses Whitepaper befasst sich mit der Frage, wie zuverlässig Black Box Scanner für Web Applikationen Sicherheitsprobleme in einer Anwendung finden.

Nicht berücksichtigt haben wir Scanner, die das zugrunde liegende Betriebssystem, den Web Server oder die Datenbanken auf der Basis konkreter, schon bekannter Schwachstellen analysieren, um festzustellen, ob die Systeme korrekt gepatched wurden.

Ebenso waren Werkzeuge zur Source Code Analyse nicht Gegenstand der Untersuchung.

Wir wollten sehen, wie leistungsfähig Scanner sind, wenn es darum geht, typische Problemtypen in einer Anwendung zu finden - auf der Basis von Algorithmen zur Problemerkennung, nicht durch Verwendung von Datenbanken mit bekannten Schwachstellen bestimmter Produkte.

Wenn Sie sich je gefragt haben, wie sicher Ihre Anwendung ist, nachdem sie einen Black Box Scanner verwendet und alle von ihm aufgedeckten Probleme behoben haben, dann ist die der richtige Artikel für Sie.

  • Zielpublikum: Everybody using or planning to use black box scanners, in particular: Security Tester, CERT Teams, IT Management
  • Sprache: Englisch
  • Autor(en): Andreas Wiegenstein, Frederik Weidemann, Dr. Markus Schumacher, Sebastian Schinzel
  • Format: PDF (1 MB)
  • Version: Version 1.0 - 2006-10-04