Was das Testen von Webseiten betrifft, beschränkt sich das Gros der Werkzeuge und Services derzeit darauf, Buffer-Overflows, SQL-Injections oder DNS-Exploits provozieren. Keines der auf Web-Application-Security spezialisierten Produkte kann bislang jedoch fertige Web-Services auf ihre Sicherheit untersuchen.

Watchfire will mit der jüngsten Version 6.5 seiner Software "AppScan" nun ein Tool auf den Markt bringen, mit dessen Hilfe sich nicht nur URLs, sondern auch WSDL-Beschreibungen (Web Services Description Language) auf Schwachstellen testen lassen sollen. Zudem wurde das Werkzeug um Angriffsbibliotheken erweitert, die auf die Ausnutzung von XML ausgelegt sind.

Im Prinzip ergänzt die Software das Schwachstellen-Testing, wie es etwa die SOA-Qualitätssicherungswerkzeuge "iTKO", "Mindreef" oder "Parasoft" innerhalb des Software-Development-Lifecycle vornehmen. Im Gegensatz dazu konzentrieren sich Watchfires AppScan und dessen Mitbewerber SpiDynamics sowie Cenzic auf bereits in Betrieb befindliche Web-Applikationen. Watchfire wiederum ist der erste Anbieter in dieser Gruppe, der auch Web-Services in sein Testing-Portfolio aufnimmt.

Die Herausforderung besteht darin, dass Web-Services Web-Interaktionen von in sich geschlossenen Dateitransfers oder Datenbankinteraktionen in eine dynamischere virtuelle Softwareanwendung umwandeln, so dass signifikante Teile der Geschäftslogik exponiert und damit ungeschützt sein können. Logik, die durch WSDL exponiert wird, ist im Prinzip denselben Bedrohungen ausgesetzt wie reguläre Web-Anwendungen. "Dass es bislang keine öffentlichen Wurmattacken oder sonstige weithin sichtbaren Angriffe gegeben hat, heißt nicht, dass Web-Services nicht verwundbar wären", klärt Watchfire-Gründer und CTO Mike Weider auf.

AppScan 6.5 enthält einen so genannten Web Services Explorer: Er soll es ermöglichen, verschiedene Methoden innerhalb des Web-Service zu untersuchen, dann Input-Daten zu manipulieren und das Feedback des Service zu untersuchen. Da Web-Services häufig als Maschine-zu-Maschine-Interaktion implementiert sind, bietet das Tool auch eine Reihe automatisierter Soap-Tests. Darüber hinaus soll die neue Version die Ausführung und das Parsing von Javascript- und Flash-Techniken unterstützen, die sich für interaktive (im Gegensatz zu automatisierten) Web-Services verwenden lassen. (kf)