Qualitätsmerkmale und Hürden

Die Qualität eines Scanners lässt sich jedoch nicht nur daran festmachen, wie viele und welche Prüfungen er bietet, sondern vor allem daran, wie gut er komplexe und dynamische Seiten crawlen und mit Login-Mechanismen umgehen kann.

Web-Applikationen sind heute weit komplexer als noch vor fünf oder zehn Jahren. Waren damals eher statische HTML-Seiten mit einer fest vorgegebenen Abfolge von Request und Response die Regel, sind heute mit Ajax, Flash und Silverlight hochdynamische Applikationen verfügbar, bei denen ein Scanner mit dem Erfassen und Ordnen der Website-Struktur häufig überfordert ist. So basiert die Technik Ajax darauf, dass jederzeit im Hintergrund Anfragen an eine Web-Seite gestellt werden können - sogar ohne jegliche Benutzerinteraktion. Auch wenn sich viele aktuelle Scanner darauf eingestellt haben und mehr oder weniger in der Lage sind, Ajax-Requests und Links zu parsen - das Erkennen und Verfolgen derselben ist bei automatisierten Tools nach wie vor ein wunder Punkt.

Zu den größten Herausforderungen für Web-Applikations-Scanner zählen das Session-Handling und der Umgang mit dem Login-Mechanismus einer Applikation. Das Tool muss selbständig erkennen können, ob es bei der Applikation angemeldet ist oder sich anmelden muss.