Watchfire testet Web-Apps schneller

23.11.2006
Die Version 7.0 von "AppScan" automatisiert das Autorisierungsmodell von Web-Anwendungen.

Zu den zeitaufwendigsten Aufgaben beim Testen von Web-Applikationen zählt, sicherzustellen, dass Nutzer nicht mehr Zugriffsrechte erlangen als ihnen zustehen. Diesen Prozess will Watchfire mit der neuen Version 7.0 seiner Software AppScan beschleunigen. Dabei handelt es sich um Testwerkzeuge, die Web-Seiten auf ihre Anfälligkeit für Attacken von intern und extern untersuchen sowie Entwicklern zur Eruierung von Schwachstellen in neuen Applikationen dienen.

Nach Angaben von Watchfire lässt sich mit dem jüngsten AppScan-Release das Testen des Autorisierungsmodells einer Web-Applikation automatisieren. Dabei soll das "Privilege Escalation Testing" beispielsweise sicherstellen, dass sich ein Mitarbeiter nicht an einer internen Web-Seite anmelden kann und Privilegien erhält, die normalerweise nur seinem Chef eingeräumt werden sollten. Der Zeitaufwand für die dahin gehende Überprüfung von Applikationen soll sich dadurch von bislang zwei bis drei Tagen bei manuell durchgeführten Tests auf zwei bis drei Stunden reduzieren lassen.

Zwei-Faktor-Authentifizierung

Als weitere Neuerungen des Release führt Watchfire die Unterstützung für Zwei-Faktor- Authentifizierung auf. Ist demnach ein komplexer Authenti- fizierungs-Login erforderlich, unterbricht AppScan den Scan-Prozess und erhält den gegenwärtigen Session-Status, bis der Nutzer den Vorgang der Authentifizierung abgeschlossen hat. Darüber hinaus soll die Soft- ware über verbesserte Dokumentationsfähigkeiten verfü- gen, den jeweiligen Status aufgespürter Schwachstellen verfolgen und zudem prüfen, ob die als behoben erklärten Ver- wundbarkeiten auch erneut getestet wurden. AppScan 7.0 ist ab dem 20. November verfügbar, die Preise beginnen bei 14400 Dollar.

Gleichzeitig hat Watchfire eine neue Reporting-Konsole an- gekündigt. In dem Web-basierenden Dashboard sollen Test- resultate von AppScan-Clients auf -Desktops zusammengeführt werden, um dem Web- Site-Inhaber einen netzweiten Überblick über die vorhandenen Verwundbarkeiten zu geben. Bislang mussten die Ergebnisse von Desktop zu Desktop in PDF-Dateien zusammengetragen und anschließend zur Analyse an die Entwickler geschickt werden. (kf)