Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

15.07.2005

Open-Source-Tool testet Web-Dienste

Foundstone Professional Services, die Security Services Group von McAfee, bietet mit "WS Digger 1.0" ein Open-Source-Werkzeug an, das Sicherheitslücken in Web-Service-Implementierungen identifizieren kann. Das neue Tool automatisiert die als Penetrationstests bekannten Black-Box-Style-Security-Tests für Web-Dienste. Es simuliert bei seinen Angriffen einen böswilligen Anwender, der keine internen Kenntnisse über die Software hat, die auf dem Web-Server läuft. Das Werkzeug operiert als Web-Service-Client, der selbst festlegt, wie er mit dem Web-Dienst interagieren möchte, und den User dazu auffordert, Entscheidungen zu fällen. Die Vorgehensweise des Tools umfasst: Erkennen von Diensten, Ermitteln des Angriffsvektors, Test von Exploits und Analyse.

Da das Framework als Open Source bereitsteht, können Anwender eigene Plug-ins entwickeln. WS Digger enthält Beispiel-Plug-ins für SQL-Injection, Cross-Site-Scripting und X-Path-Injection-Attacks. Die Software steht samt Quellcode unter www.foundstone.com/resources/freetools.htm bereit. (ue)