Single-Page-Webanwendungen, also Web Apps mit JavaScript-Frontend, die dynamisch neue Inhalte laden, lassen sich nur aufwändig auf Schwachstellen testen. Ein Scanner von Crashtest Security soll JavaScript-basierte Angriffsvektoren in Frontend, Backend und deren Kommunikation automatisiert erkennen.
Crashtest Security hat seine Angriffsvektor-Erkennung um dynamische JavaScript-Inhalte erweitert.
(Bild: Crashtest Security)
Das Erkennen potenzieller Angriffswege ist bei Single-Page-Apps (SPA) ein mühsamer, manueller Prozess, wie Crashtest Security erläutert: Der Entwickler oder Tester musste Klicksequenzen manuell erstellen und spezifische Werteinträge zur Identifizierung von Sicherheitslücken angeben. Die Einrichtung nur eines einzigen spezifischen Angriffsvektors könne so durchaus 5 bis 15 Minuten beanspruchen.
Der Crashtest Security Scanner benötigt nur den Verweis auf eine Domain, um mit dem Scan zu beginnen, auch auf JavaScript-basierte Angriffspunkte. Die automatische Erkennung lässt sich bei jedem Scan automatisch ausführen, um die Logik auf Basis der aktuell eingesetzten Version anzupassen. Dies sei insbesondere in agilen Szenarien mit vielen Softwareversionen besonders wichtig.
Der Scanner basiert auf einem Software-as-a-Service-Modell, der Anbieter legt Wert auf eine möglichst intuitive Bedienung. Um diesem Anspruch gerecht zu werden, wurde die Benutzerschnittstelle mit Blick auf die User Experience überarbeitet. Das neue Design konzentriere sich insbesondere auf einen reibungsloseren Registrierungsprozess und eine verbesserte Nutzererfahrung innerhalb der Software.
Der Scanner wird in drei vordefinierten Paketen (Starter, Advanced, Professional) angeboten, die ab 35 Euro pro Monat erhältlich sind. Mit steigendem Automatisierungsbedarf steigt der Preis – aber auch die Zeitersparnis für die Anwender. Der JavaScript-Scan ist Bestandteil des Advanced-Pakets von Crashtest Security enthalten, dessen Preis bei 69 Euro pro Monat beginnt. Die Software lässt sich 14 Tage lang kostenlos und in vollem Funktionsumfang testen.
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
:quality(80)/images.vogel.de/vogelonline/bdb/1899700/1899778/original.jpg "Die Lehrpläne von Security-Awareness-Trainings sollten auf die konkreten Anforderungen der verschiedenen Mitarbeitergruppen im Unternehmen zugeschnitten sein. (putilov_denis - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1899800/1899806/original.jpg "EDR-Systeme nutzen künstliche Intelligenz und Machine Learning um auffällige Verhaltensweisen der Endgeräte zu identifizieren und dadurch Malware und Angriffe zu erkennen. (chinnarach - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1899400/1899487/original.jpg "Kommen WAFs ergänzend zu bereits vorhandenen Sicherheitsmaßnahmen zum Einsatz, bieten sie zusätzlichen Schutz und gestatten beispielsweise das simultane Schließen von Sicherheitslücken für mehrere Anwendungen gleichzeitig. (Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/b7/67b711da5b5f09967c0ea2daba56aa78/0104950222.jpeg "Active Directory hat in vielen Unternehmen zu einer zunehmend angespannten Sicherheitslage beigetragen. (Bild: © – wladimir1804 – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/f4/d7f49a7643deba90b142e9ae2c31c537/0105531258.jpeg "Um im Unternehmen ein Bewusstsein für Cybergefahren und die Rolle jedes Einzelnen zu schaffen, braucht es eine Unternehmenskultur, die Sicherheit als Fokusthema behandelt und in allen Hierarchieebenen täglich lebt. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/65/fc650b2db576e2457c49e475146876f8/0105545139.jpeg "Neben dem eingeschränkten Zugang zur parteiinternen Platform, wurden außerdem Mails von Grünen-Vorsitzenden an externe Server weitergeleitet (© Askhat – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/f3/01f302eaafc753318d309b1623c07136/99551979.jpeg "Trotz omnipräsenter Deep Fakes waren wir uns ziemlich sicher: Als Studiogast durften wir den echten Götz Güttich begrüßen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/df/4f/df4fc5ae7a62ee026131d41ce3a66be9/0105534981.jpeg "In den richtigen Händen kann KI/ML Schwachstellen aufdecken und die Reaktionszeit auf Vorfälle verkürzen. In den Händen von Cyberkriminellen können die Schäden erheblich sein. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/6d/b96db16ef3522e44b1d94f566d67e237/0105253484.jpeg "Reply-CTO Filippo Rizzante (Bild: Reply)")
:quality(80)/p7i.vogel.de/wcms/ca/bd/cabddc94c2cf31faf73a68a2c7bd5546/0105530622.jpeg "Ständig verschärfte Compliance-Anforderungen erfordern ein umfassendes Auditing und Reporting des Betriebs von Sicherheitslösungen und binden so weitere Ressourcen bei den Security-Teams. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/e3/0fe3c9cdeef802ebc1bc79cf1f0d6aaf/0105537284.jpeg "Die Geräteverschlüsselung kann in Windows 10 und Windows 11 als Alternative zur Bitlocker zum Einsatz kommen. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/6e/f26eae92b4c2c97a4a31c013ea83ab5a/0105536088.jpeg "Das Sicherheitsgefühl ist trügerisch – und das nicht erst seit der von Bundeskanzler Olaf Scholz propagierten Zeitenwende, die eigentlich bereits mit der Corona-Pandemie begonnen hat. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/61/c661ef61df035bcd9d13b4afe1e9a76f/0105545144.jpeg "Vor einer Entscheidung des Bundesverfassungsgerichts müssen Fachgerichte die Umstände der Sicherheit der Software aufklären (© everythingpossible – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/7e/607e82ef92ff20792b08003048687b47/0105061834.jpeg "Unzerstörbare Snapshots sorgen bei VAST Data für den Schutz vor Ransomware. (Bild: VAST Data)")
:quality(80)/p7i.vogel.de/wcms/13/f9/13f9bfb0f8187d159bb513b4d09cf469/0104886347.jpeg "Die Unternehmen erleben aktuell eine Vielzahl von Hemmnissen, die den Einsatz von Industrie-4.0-Anwendungen erschweren, so eine Bitkom-Umfrage. So würden 77 Prozent gerne mehr investieren und klagen über fehlende finanzielle Mittel. 61 Prozent fühlen sich durch Datenschutz-Anforderungen behindert, 57 Prozent von Anforderungen an die IT-Sicherheit. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/6a/b4/6ab40c8384e683df271ec61850594248/0105247447.jpeg "Unternehmen, die Software entwickeln sollten sicherstellen, dass alle Formen von Code vor unbefugtem Zugriff und Manipulationen geschützt sind. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/20/eb20664995797cb5c4717af400813abb/0105253079.jpeg "In diesem Tool-Tipp zeigen wir, wie man das Open-Source-Tool Simplewall einrichtet und damit die Regeln der Windows Filtering Platform konfiguriert. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/00/1b0024aa78349d908dd281f3c357fba4/0105084078.jpeg "In einer kennwortfreien Zukunft verschwendet niemand mehr Zeit mit dem Zurücksetzen vergessener Passwörter. Insgesamt muss die IT-Abteilung nicht mehr Stunden mit dem Lösen von Zugangsproblemen verbringen. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/26/8d26701cf83b8e8ea94954cf9b6bcc07/0105252820.jpeg "Es ist absolut notwendig, den Zugang aller Anwender zu sichern und nicht nur den von privilegierten Konten. (Bild: Alex - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/e2/4ae2041bac8c433b6bed2bf78ce0c9ed/0105244661.jpeg "Manchmal ist es in der digitalen Welt wie im Dschungel: Es ist eine große Herausforderung, zwischen einer echten Person und einem Computer oder Bot zu unterscheiden. (Bild: malp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c1/a4/c1a4d35fd9a451f1201477ea64898dfe/0105239184.jpeg "Entwendete Zugangsdaten von Unternehmensmitarbeitern spielten bei nahezu allen bekannt gewordenen großen IT-Sicherheitsvorfällen der letzten Jahre eine Rolle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ef/f6/eff6b7261251b29aff750e662f14122b/0105545236.jpeg "Wettstreit um die beste Lösung: Die Cyberagentur nutzt für ihre bislang größte Ausschreibung das konkurrenzbasierte PCP-Verfahren (© Montri – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/c8/e9c85878721a0341f227a7fa841bcea3/0105529996.jpeg "Wenn CISOs mit dem Vorstand sprechen, müssen sie insbesondere sehr auf ihre Sprache achten. (Bild: Alexander Pokusay - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/ac/beac323e21f148f5ed723cfa4e5d7960/0104312903.jpeg "Ein Overlay-Netzwerk ist ein auf einem bestehenden Netz aufsetzendes logisches Netzwerk. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/96/ba/96ba3e4a913ec537c25445bac83d4d22/0104312956.jpeg "MACsec (Media Access Control Security) ist ein Sicherheitsstandard für Punkt-zu-Punkt-Ethernet-Verbindungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/86/5b/865b607805e874f2192cb286d90e4ddd/0105243756.jpeg "Das Startup Rimian, aus Füssen im Allgäu unterstützt Unternehmen dabei, Cyberrisiken ins Verhältnis zu den davon betroffenen Geschäftsprozessen zu setzen. (Bild: thodonal - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/37/603753974c504/sast-logo-rgb-72dpi-png.png "SAST-Logo_RGB_72dpi.png.png (akquinet enterprise solutions GmbH - SAST SOLUTIONS)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942500/1942503/original.jpg "Die Code-Scanning-Enginge CodeQL soll sowohl in der Tiefe als auch in der Breite bessere Code-Analysen auf Github erlauben. (GitHub)")
:quality(80)/images.vogel.de/vogelonline/bdb/1811900/1811978/original.jpg "Passives Fingerprinting kann einem Cyber-Angreifer eine saubere und einfache Umgehungsstrategie ermöglichen. (gemeinfrei)")