Website-Analyse mit Hacker-Methoden

23.01.2004
Von 
Vice President Software & SaaS Markets PAC Germany
MÜNCHEN (COMPUTERWOCHE) - Die Software "Appscan" des amerikanischen Anbieters Sanctum bedient sich der Methoden von Hackern, um Web-Anwendungen auf Sicherheitslöcher zu untersuchen. Solche Tests wickelt das Tool automatisch ab, indem es mögliche Schwachstellen aufdeckt und gezielte Angriffe simuliert. Die CW-Schwesterzeitschrift "Infoworld" hat das Produkt begutachtet.

Appscan von Sanctum untersucht die vom Anwender angegebenen Websites, indem es Attacken simuliert. Das Werkzeug fertigt umfangreiche Berichte an, die darüber Auskunft geben, welche Angriffe erfolgreich waren. Site-Verantwortliche erhalten so eine Liste von Schwachstellen, die es auszumerzen gilt.

Die Analysesoftware lässt sich eigenständig betreiben oder in Entwicklungsumgebungen einbinden, beispielsweise in "Visual Studio .NET" und "Visual Basic 6.0" von Microsoft, IBMs "Websphere Application Development Studio 5.0", "Eclipse" und "Jbuilder" (Borland).

Geeignet für interne und externe Security-Checks: Appscan simuliert Hacker-Attacken, um undichte Stellen in Web-Anwendungen ausfindig zu machen. (Quelle: Sanctum)
Geeignet für interne und externe Security-Checks: Appscan simuliert Hacker-Attacken, um undichte Stellen in Web-Anwendungen ausfindig zu machen. (Quelle: Sanctum)

Die Benutzeroberfläche begleitet den Anwender über die vier Phasen ("Setup", "Explore", "Test" und "Report") des Sicherheits-Checks. Diese Anordnung erlaubt es, Schwachstellenanalysen zu verfeinern und erneut ablaufen zu lassen.

Während des Setup gibt der Benutzer an, welche URL Appscan untersuchen und wie tief das Werkzeug in die Link-Struktur der Site hinabsteigen soll. Dabei kann der Anwender Verweise auf URLs vom Test ausschließen. Es bleibt dem Appscan-User überlassen, ob er alle erforderlichen Informationen gleich zu Beginn eintippt oder dies während der Explore-Phase nachholt. Fehlen Eingaben, fordert sie die Software im Verlauf über Dialoge ein.

Der eigentliche Security-Scan erfolgt in der Explore-Phase. Hier bietet Appscan die Auswahl zwischen dem Modus "Automatic" oder "Interactive". Beim automatischen Check durchwandert das System die Baumstruktur der Site und lässt nur die Bereiche aus, die zuvor entsprechend markiert wurden. Die interaktive Variante überlässt dem Benutzer die Navigation und bietet ihm so die Möglichkeit, gezielt problematische Site-Elemente anzusteuern. Beide Modi lassen sich kombinieren, indem der Bediener zwischen Automatic und Interactive hin- und herwechselt. Mit modifizierten HTTP-Requests testet das Tool Schwachstellen ab. Aus den im Explore-Abschnitt gesammelten Daten erstellt Appscan eine Übersicht der möglichen Sicherheitslücken.

In der Testphase simuliert Appscan dann Hacker-Angriffe und zeichnet die Resultate auf. Experten, die sich nicht auf die Algorithmen verlassen wollen, können die Attacken verfeinern beziehungsweise den Test auf bestimmte Angriffsszenarien eingrenzen. Falls das Werkzeug feststellt, dass eine Aktion die Site lahm legen würde, gibt es dem Bediener die Chance, sie abzubrechen.

Bericht schließt Analyse ab

Abschließend bereitet Appscan in der Report-Phase die Testergebnisse auf. Diese lassen sich entweder am Bildschirm betrachten, ausdrucken oder als Berichte in Excel, Portable Document Format (PDF), Word, CSV oder HTML exportieren. Potenzielle Gefahrenquellen ordnet die Software in Kategorien ein wie etwa "Buffer Overflows", "hidden field manipulation" oder "parameter tempering".

Neben dem Austesten von Sicherheitslücken vermag Appscan zudem in HTML-Inhalten sicherheitskritische Informationen aufzuspüren. Dazu zählen von Entwicklern eingefügte Kommentare, in denen mitunter Debug-Passwörter enthalten sind. Hacker durchforsten den offen zugänglichen HTML-Code gezielt nach solchen Passagen. Die Funktion "Content Review" markiert verdächtige Wörter in HTML sowie Javascript.

Die Tester ließen Appscan auf eine kleine, auf der Datenbank "My SQL" aufsetzende Web-Applikation los. Trotz der geringen Komplexität des Zielsystems förderte das Tool über 900 einzelne Angriffsmöglichkeiten zutage. Im Fazit äußerten sich die Tester positiv überrascht von den umfangreichen Funktionen der Software. Sie loben die komfortable Benutzerführung und die vielfältigen Möglichkeiten der Schwachstellenanalyse.