Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

04.08.2006

Watchfire testet Web-Services

Die Software "Appscan" soll nach Schwachstellen suchen.

Was das Testen von Web-Seiten betrifft, beschränkt sich das Gros der Werkzeuge und Services bislang darauf, Buffer-Overflows, SQL-Injections oder DNS-Exploits zu provozieren. Watchfire bringt mit der neuen Version 6.5 seiner Software "Appscan" nun ein Tool auf den Markt, mit dessen Hilfe sich nicht nur URLs, sondern auch WSDL-Beschreibungen (Web Services Description Language) auf Schwachstellen testen lassen.

Im Prinzip ergänzt die Software das Schwachstellen-Testing, wie es etwa die SOA-Qualitätssicherungswerkzeuge "iTKO", "Mindreef" oder "Parasoft" innerhalb des Software-Development-Lifecycle vornehmen. Im Gegensatz dazu konzentrieren sich Watchfires Appscan und die Produkte seiner Mitbewerber SPI Dynamics sowie Cenzic auf bereits in Betrieb befindliche Web-Applikationen. Mit der jüngsten Appscan-Version nimmt Watchfire nun auch Web-Services in sein Testing-Portfolio auf.

Die Herausforderung besteht darin, dass Web-Services Web-Interaktionen von in sich geschlossenen Dateitransfers oder Datenbankinteraktionen in eine dynamischere virtuelle Softwareanwendung umwandeln, so dass signifikante Teile der Geschäftslogik exponiert und damit ungeschützt sein können. Logik, die durch WSDL exponiert wird, ist im Prinzip denselben Bedrohungen ausgesetzt wie reguläre Web-Anwendungen. "Dass es bislang keine öffentlichen Wurmattacken oder sonstige weithin sichtbaren Angriffe gegeben hat, heißt nicht, dass Web-Services nicht verwundbar wären", klärt Watchfire-Gründer und CTO Mike Weider auf.

Appscan 6.5 enthält einen so genannten Web Services Explorer: Er soll es ermöglichen, die verschiedenen Methoden innerhalb des Web-Service zu untersuchen, dann Input-Daten zu manipulieren und das Feedback des Service zu untersuchen. Da Web-Services häufig als Maschine-zu-Maschine-Interaktion implementiert sind, bietet das Tool auch eine Reihe automatisierter Soap-Tests. Zudem soll die neue Ver- sion die Ausführung und das Par- sing von Javascript- und Flash- Techniken unterstützen. (kf)