computerwoche.de

Web

Watchfire beschleunigt das Testen von Web-Applikationen

08.11.2006
Die jüngste Version 7.0 der Software "AppScan" soll das Autorisierungsmodell von Web-Anwendungen automatisiert überprüfen.

Zu den zeitaufwendigsten Aufgaben beim Testen von Web-Applikationen zählt, sicherzustellen, dass Nutzer nicht mehr Zugriffsrechte erlangen als ihnen zustehen. Diesen Prozess will Watchfire mit der neuen Version 7.0 seiner Software AppScan beschleunigen. Dabei handelt es sich um Testwerkzeuge, die Web-Seiten auf ihre Anfälligkeit für Attacken von intern und extern untersuchen sowie Entwicklern zur Eruierung von Schwachstellen in neuen Applikationen dienen.

Nach Angaben von Watchfire lässt sich mit dem jüngsten AppScan-Release das Testen des Autorisierungsmodells einer Web-Applikation automatisieren. Dabei soll das "Privilege Escalation Testing" beispielsweise sicherstellen, dass sich ein Mitarbeiter nicht an einer internen Web-Seite anmelden kann und Privilegien erhält, die normalerweise nur seinem Chef eingeräumt werden sollten. Der Zeitaufwand für diese Überprüfung von Applikationen soll sich dadurch von bislang zwei bis drei Tagen bei manuell durchgeführten Tests auf zwei bis drei Stunden reduzieren lassen.

Als weitere Neuerungen des Release führt Watchfire die Unterstützung für Zwei-Faktor-Authentifizierung auf. Ist demnach ein komplexer Authentifizierungs-Login erforderlich, unterbricht AppScan den Scan-Prozess und erhält den gegenwärtigen Session-Status, bis der Nutzer den Vorgang der Authentifizierung abgeschlossen hat. Darüber hinaus soll die Software über verbesserte Dokumentationsfähigkeiten verfügen, den jeweiligen Status aufgespürter Schwachstellen verfolgen und zudem prüfen, ob die als behoben erklärten Verwundbarkeiten auch erneut getestet wurden. AppScan 7.0 ist ab dem 20. November verfügbar, die Preise beginnen bei 14.400 Dollar.

Gleichzeitig hat Watchfire eine neue Reporting-Konsole angekündigt. In dem Web-basierenden Dashboard sollen Testresultate von AppScan-Clients auf -Desktops zusammengeführt werden, um dem Web-Site-Inhaber einen netzweiten Überblick über die vorhandenen Verwundbarkeiten zu geben. Bislang mussten die Ergebnisse von Desktop zu Desktop in PDF-Dateien zusammengetragen und zur Analyse an die Entwickler geschickt werden. (kf)