Suchen

RSA Conference 09: Web Application Scanning als Service Schwachstellen-Scan und -Reporting unter der QualysGuard-Oberfläche

| Redakteur: Stephan Augsten

Der Security-Hersteller Qualys erweitert den QualysGuard um einen Web-Application-Scanning-Service. Per Knopfdruck können Kunden damit ihre eigens programmierten Webanwendungen auf gängige Schwachstellen prüfen. Der Vulnerability-Scan meldet unter anderem, ob Online-Applikationen anfällig für SQL Injection, Cross Site Scripting oder Directory Traversals sind.

Firmen zum Thema

Firmen können ihre Webanwendungen mit dem Web-Application-Scanning-Service von Qualys on-demand auf Schwachstellen prüfen.
Firmen können ihre Webanwendungen mit dem Web-Application-Scanning-Service von Qualys on-demand auf Schwachstellen prüfen.
( Archiv: Vogel Business Media )

Als Erweiterung der SaaS-Suite (Software as a Service) QualysGuard bietet der Hersteller Qualys künftig die Lösung Web Application Scanning (WAS) an. Die Lösung crawlt und prüft kundenspezifische Webanwendungen automatisiert auf häufige Schwachstellen, wie sie in den OWASP Top 10 und der WASC Threat Classification aufgeführt sind.

Mit der Lösung lassen sich beispielsweise Anfälligkeiten für SQL-Injection und Cross-Site Scripting erkennen. QualysGuard WAS 1.0 scannt laut Hersteller beliebig viele interne oder externe Webanwendungen in Produktions- wie auch Entwicklungsumgebungen. „Dank der Automatisierung unserer neuen Lösung zum Scannen von Webanwendungen können sich unsere Kunden per Knopfdruck einen klaren Überblick über die Sicherheit ihrer Webapplikationen verschaffen“, erläutert Philippe Courtot, Chairman und CEO von Qualys.

Enterprise-Lösungen zur Sicherheitsanalyse von Webanwendungen sollten laut dem Security-Analysten Rich Mogull von Securosis.com nicht nur ein weites Testspektrum für die wichtigsten Web-Application-Schwachstellen bieten. „Eine Enterprise-Lösung sollte außerdem dazu in der Lage sein, vielerlei Anwendungen zu scannen, die Resultate über längere Zeiträume zu verfolgen, robuste Berichterstattung zu bieten (insbesondere Compliance-Reports) und auch Berichte zu liefern, die auf lokale Anforderungen zugeschnitten sind.“

Funktionsumfang von Web Application Scanning 1.0

Mit WAS können Unternehmen über die QualysGuard-Benutzeroberfläche ihre Webanwendungen verwalten, Scans erwirken und Reports erzeugen. Zudem bietet QualysGuard WAS den Kunden folgende Funktionen:

Crawling & Link-Erkennung: Ein eingebetteter Webcrawler parst HTML und teilweise JavaScript, um Links zu extrahieren. QualysGuard WAS balanciert automatisch die Breite und Tiefe der gefundenen Links, um bis zu 5.000 Links pro Webanwendung crawlen zu können.

Authentifizierung: QualysGuard WAS unterstützt HTTP Basic-, Digest- und serverbasierte NTLM-Authentifizierung sowie einfache Formularauthentifizierung.

Blacklisting und Whitelisting: Die Lösung verhindert, dass der Crawler Links in einer Webanwendung besucht, die in der Blacklist aufgeführt sind. Außerdem kann sie den Crawler anweisen, nur diejenigen Links zu besuchen, die ausdrücklich in einer Whitelist definiert sind.

Performance-Tuning: WAS bietet eine benutzerdefinierte, granulare Bandbreitenkontrolle für parallele Scans, um Auswirkungen auf die Leistung der Anwendung zu beschränken.

Ermittlung sensibler Inhalte: Bei HTML-Inhalten ermöglicht die Lösung die automatische Suche nach Ausdrücken bzw. Strings, beispielsweise Sozialversicherungsnummern.

Workflows zur Definition von Scans und Prüfung von Berichten: QualysGuard WAS bietet Scanning- und Reporting-Workflows für jede einzelne Webanwendung.

Verfügbarkeit

QualysGuard WAS soll ab 26. Mai 2009 als Teil der Security- und Compliance-Suite QualysGuard erhältlich sein. Die Jahresabonnements des Web Application Scanning basieren auf der Zahl der zu prüfenden Webanwendungen und umfassen eine unbegrenzte Zahl von Scans sowie 24x7-Support und -Updates. Qualys präsentiert und demonstriert dieser Tage auf der RSA-Konferenz am Stand 1717 eine Reihe neuer Produkte und Produkt-Upgrades.

(ID:2021507)