Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

29.06.2006

Software simuliert Hacker-Denkweise

Das Tool verkürzt die Zeit für Fehlersuche in Web-Applikationen.

Der Anbieter SPI Dynamics hat die neueste Version seiner Software für die Schwachstellen- analyse bei Web-Applikationen vorgestellt. "Webinspect 6.0" simuliert dabei Angriffe, wie sie auch von einem echten Hacker stammen könnten. Für die aktuelle Fassung des Tools wurden die hierfür nötigen Algorithmen noch einmal überarbeitet. Statt einfach eine Bibliothek mit Angriffsmustern stur abzuarbeiten, ist Webinspect jetzt in der Lage, bestimmte Attacken zu überspringen, wenn technisch ähnliche Scans gezeigt haben, dass die Angriffe nicht zum Ziel führen.

Auch für komplexe Sites

Diese Neuerung kann in der Praxis enorme Auswirkungen haben, denn bei komplexen Web-Seiten dauern die Sicherheits-Scans oft sehr lange. "Wir haben gerade einen Kunden, dessen Web-Applikation über eine Million Seiten hat", erklärt SPI-CEO Brian Cohen. "Nach unseren Berechnungen würde ein einmaliger Test 75 Tage dauern." Mit der neuen Technik, die das Unternehmen "Intelligent Engines" nennt, lässt sich diese Zeit drastisch reduzieren. Nach Angaben von Chief Technology Officer (CTO) Caleb Sima dauert beispielsweise ein automatisierter Scan einer komplexen Web-Seite auf eine Cross-Site-Scripting-Schwachstelle, der vorher drei Stunden beanspruchte, nunmehr ganze zwölf Minuten. "So wie es auch ein Hacker tun würde, verändert unsere Software die Angriffe je nachdem, wie die Anwendung reagiert und welche Methoden funktionieren", erklärt der Manager.

Das habe des Weiteren den Vorteil, dass sich auch die Zahl der False Positives reduziert, also der unzutreffenden Fehlermeldungen. Vorher machten die etwa 15 bis 20 Prozent des Gesamtergebnisses aus und mussten von Hand aussortiert werden. Jetzt habe man "fast keine" falschen Resultate mehr. Webinspect 6.0 ist ab sofort verfügbar. (ave)