Foundstone Professional Services, die Security Services Group von McAfee, bietet mit "WS Digger 1.0" ein Open-Source-Werkzeug an, das Sicherheitslücken in Web-Service-Implementierungen identifizieren kann. Das neue Tool automatisiert die als Penetrationstests bekannten Black-Box-Style-Security-Tests für Web-Dienste. Es simuliert bei seinen Angriffen einen böswilligen Anwender, der keine internen Kenntnisse über die Software hat, die auf dem Web-Server läuft. Das Werkzeug operiert als Web-Service-Client, der selbst festlegt, wie er mit dem Web-Dienst interagieren möchte, und den User dazu auffordert, Entscheidungen zu fällen. Die Vorgehensweise des Tools umfasst: Erkennen von Diensten, Ermitteln des Angriffsvektors, Test von Exploits und Analyse.

Da das Framework als Open Source bereitsteht, können Anwender eigene Plug-ins entwickeln. WS Digger enthält Beispiel-Plug-ins für SQL-Injection, Cross-Site-Scripting und X-Path-Injection-Attacks. Die Software steht samt Quellcode unter www.foundstone.com/resources/freetools.htm bereit. (ue)