Web Application Scan

Schwachstellen in Webanwendungen haben sich zum Hauptvektor für Angriffe auf die Unternehmens-sicherheit entwickelt. Wenn man von Exploits hört, die sensible Daten kompromittieren, ist vielfach von Angriffen wie „Cross-Site Scripting“, „SQL-Injection“ oder „Konfigurationsfehlern auf Websites“ die Rede.

Schwachstellen dieser Art fallen oft nicht in den traditionellen Kompetenzbereich von Netzwerk-Sicherheitsmanagern. Deshalb bleiben Sicherheitslücken in Webanwendungen vergleichsweise häufig unentdeckt und lassen sich somit gut für Angriffe ausnutzen.

Wie schon viele Unternehmen feststellen mussten, umgehen solche Angriffe die herkömmlichen Abwehrmechanismen in Netzwerken, sofern keine aktuellen Vorsichtsmaßnahmen eingeleitet werden. Gründe für Schwachstellen in Webanwendungen sind in der Regel falsche Konfigurationen oder Programmierfehler, die sich beim Einsatz einer Programmier-sprache (z.B. Java, .NET, PHP, Python, Perl, Ruby), in einer Code- Bibliothek, einem Entwurfsmuster oder einer Architektur ergeben. Diese Schwachstellen können komplex sein und unter verschiedensten Umständen auftreten.

Die Lösung: QualysGuard Web Application Scan

Um die Kunden bei der Analyse und Verfolgung von Schwachstellen in Webanwendungen zu unterstützen, hat Qualys® die QualysGuard® Security and Compliance Suite um eine neue Komponente erweitert – QualysGuard Web Application Scanning (WAS) 1.0.

Dieser neue, on demand bereitgestellte Service ermittelt durch Crawlen und Testen die meisten Schwachstellen in kundenspezifischen Webanwendungen, wie sie etwa in den OWASP Top 10 und der WASC Threat Classification aufgeführt sind.

Dazu zählen beispielsweise SQL-Injection und Cross-Site Scripting. Über die vertraute QualysGuard-Bedienoberfläche können die Benutzer Webanwendungen verwalten, Scans starten und Berichte erzeugen.

QUALYS WAS Lebenszyklus

So Funktioniert der Web Application Scan

Crawler-Phase
Die hoch entwickelte Scanning Engine setzt eine Reihe verschiedener Techniken für effektives Website-Crawling ein. Der Crawler benötigt nur einen Benutzernamen und ein Passwort, um automatisch ein HTML-Login-Formular zu identifizieren, ein Profil des Authentifizierungsprozesses zu erstellen und den Sessionstatus zu überwachen und damit zu gewährleisten, dass ein Scan mit Authentifizierung während des gesamten Crawling-Vorgangs authentifiziert bleibt. Der Crawler versucht, so viele Funktionalitäten der Ziel-Website wie nur möglich zu erfassen, indem er Breite und Tiefe des Crawling- Prozesses steuert und zudem redundante oder rekursive Links meidet. Außerdem erstellt der Crawler ein Profil der spezifischen Verhaltensweisen der Ziel- Website, wie etwa der Anzeige von Default-Fehlerseiten, und nutzt die so gewonnenen Informationen, um in der Testphase Fehlalarme zu reduzieren.


Testphase
In der Testphase sucht WAS nach gängigen Schwachstellen wie SQL-Injection, Cross-Site Scripting, Offenlegung von Quellcodes und Directory-Traversal. Mithilfe einer Kombination aus Signaturen und Profilerstellung kann die Test Engine genau ermitteln, ob Schwachstellen vorhanden sind. Derzeit fokussieren die Tests auf Fault-Injection-Probleme und unterscheiden zwischen ausnutzbaren Schwachstellen und einfacher Offenlegung von Informationen, wo immer dies möglich ist.


Überprüfung und Reporting
Die Reporting-Engine untergliedert die Probleme für jede einzelne Website nach Schwachstellentypen wie etwa Cross-Site Scripting oder SQL-Injection und liefert zudem zusammenfassende Schwachstellen-informationen für Gruppen von Webanwendungen. Darüber hinaus bietet QualysGuard WAS einen neuen Mechanismus zur Verwaltung der Benutzerzugriffe für einzelne Scans von Webanwendungen und unterstützt damit unterschiedliche Workflows für Schwachstellentests und Schwachstellenbehebung.