Der Anbieter SPI Dynamics hat die neueste Version seiner Software für die Schwachstellenanalyse bei Web-Applikationen vorgestellt. "Webinspect 6.0" simuliert dabei Angriffe, wie sie auch von einem echten Hacker stammen könnten. Für die aktuelle Fassung des Tools wurden die hierfür nötigen Algorithmen noch einmal überarbeitet. Statt einfach eine Bibliothek mit Angriffsmustern stur abzuarbeiten, ist Webinspect jetzt in der Lage, bestimmte Attacken zu überspringen, wenn technisch ähnliche Scans gezeigt haben, dass sie nicht zum Ziel führen.
Diese Neuerung kann in der Praxis enorme Auswirkungen haben, denn bei komplexen Web-Seiten dauern die Sicherheits-Scans oft sehr lange. "Wir haben gerade einen Kunden, dessen Web-Applikation über eine Million Seiten hat", erklärt SPI-CEO Brian Cohen. "Nach unseren Berechnungen würde ein einmaliger Test 75 Tage dauern."
Mit der neuen Technik, die das Unternehmen "Intelligent Engines" nennt, lässt sich diese Zeit drastisch reduzieren. Nach Angaben von Chief Technology Officer (CTO) Caleb Sima dauert beispielsweise ein automatisierter Scan einer komplexen Web-Seite auf eine Cross-Site-Scripting-Schwachstelle, der vorher drei Stunden beanspruchte, nunmehr ganze zwölf Minuten. "So wie es auch ein Hacker tun würde, verändert unsere Software die Angriffe je nachdem, wie die Anwendung reagiert und welche Methoden funktionieren."
Das habe des Weiteren den Vorteil, dass sich auch die Zahl der False Positives reduziert, also der zu Unrecht ermittelten Fehler. Vorher machten die etwa 15 bis 20 Prozent des Gesamtergebnisses aus und mussten von Hand aussortiert werden. Jetzt habe man "fast keine" falschen Resultate mehr. Webinspect 6.0 ist ab sofort verfügbar. (ave)
