RSA Conference 09: Web Application Scanning als Service

Schwachstellen-Scan und -Reporting unter der QualysGuard-Oberfläche

23.04.2009 | Redakteur: Stephan Augsten

Firmen können ihre Webanwendungen mit dem Web-Application-Scanning-Service von Qualys on-demand auf Schwachstellen prüfen.
Firmen können ihre Webanwendungen mit dem Web-Application-Scanning-Service von Qualys on-demand auf Schwachstellen prüfen.

Der Security-Hersteller Qualys erweitert den QualysGuard um einen Web-Application-Scanning-Service. Per Knopfdruck können Kunden damit ihre eigens programmierten Webanwendungen auf gängige Schwachstellen prüfen. Der Vulnerability-Scan meldet unter anderem, ob Online-Applikationen anfällig für SQL Injection, Cross Site Scripting oder Directory Traversals sind.

Als Erweiterung der SaaS-Suite (Software as a Service) QualysGuard bietet der Hersteller Qualys künftig die Lösung Web Application Scanning (WAS) an. Die Lösung crawlt und prüft kundenspezifische Webanwendungen automatisiert auf häufige Schwachstellen, wie sie in den OWASP Top 10 und der WASC Threat Classification aufgeführt sind.

Mit der Lösung lassen sich beispielsweise Anfälligkeiten für SQL-Injection und Cross-Site Scripting erkennen. QualysGuard WAS 1.0 scannt laut Hersteller beliebig viele interne oder externe Webanwendungen in Produktions- wie auch Entwicklungsumgebungen. „Dank der Automatisierung unserer neuen Lösung zum Scannen von Webanwendungen können sich unsere Kunden per Knopfdruck einen klaren Überblick über die Sicherheit ihrer Webapplikationen verschaffen“, erläutert Philippe Courtot, Chairman und CEO von Qualys.

Enterprise-Lösungen zur Sicherheitsanalyse von Webanwendungen sollten laut dem Security-Analysten Rich Mogull von Securosis.com nicht nur ein weites Testspektrum für die wichtigsten Web-Application-Schwachstellen bieten. „Eine Enterprise-Lösung sollte außerdem dazu in der Lage sein, vielerlei Anwendungen zu scannen, die Resultate über längere Zeiträume zu verfolgen, robuste Berichterstattung zu bieten (insbesondere Compliance-Reports) und auch Berichte zu liefern, die auf lokale Anforderungen zugeschnitten sind.“

Funktionsumfang von Web Application Scanning 1.0

Mit WAS können Unternehmen über die QualysGuard-Benutzeroberfläche ihre Webanwendungen verwalten, Scans erwirken und Reports erzeugen. Zudem bietet QualysGuard WAS den Kunden folgende Funktionen:

Crawling & Link-Erkennung: Ein eingebetteter Webcrawler parst HTML und teilweise JavaScript, um Links zu extrahieren. QualysGuard WAS balanciert automatisch die Breite und Tiefe der gefundenen Links, um bis zu 5.000 Links pro Webanwendung crawlen zu können.

Authentifizierung: QualysGuard WAS unterstützt HTTP Basic-, Digest- und serverbasierte NTLM-Authentifizierung sowie einfache Formularauthentifizierung.

Blacklisting und Whitelisting: Die Lösung verhindert, dass der Crawler Links in einer Webanwendung besucht, die in der Blacklist aufgeführt sind. Außerdem kann sie den Crawler anweisen, nur diejenigen Links zu besuchen, die ausdrücklich in einer Whitelist definiert sind.

Performance-Tuning: WAS bietet eine benutzerdefinierte, granulare Bandbreitenkontrolle für parallele Scans, um Auswirkungen auf die Leistung der Anwendung zu beschränken.

Ermittlung sensibler Inhalte: Bei HTML-Inhalten ermöglicht die Lösung die automatische Suche nach Ausdrücken bzw. Strings, beispielsweise Sozialversicherungsnummern.

Workflows zur Definition von Scans und Prüfung von Berichten: QualysGuard WAS bietet Scanning- und Reporting-Workflows für jede einzelne Webanwendung.

Verfügbarkeit

QualysGuard WAS soll ab 26. Mai 2009 als Teil der Security- und Compliance-Suite QualysGuard erhältlich sein. Die Jahresabonnements des Web Application Scanning basieren auf der Zahl der zu prüfenden Webanwendungen und umfassen eine unbegrenzte Zahl von Scans sowie 24x7-Support und -Updates. Qualys präsentiert und demonstriert dieser Tage auf der RSA-Konferenz am Stand 1717 eine Reihe neuer Produkte und Produkt-Upgrades.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2021507 / Mobile- und Web-Apps)