Suchen

Integration von Selenium und Qualys Web Application Scanner Web-Anwendungen mit Selenium IDE effektiver prüfen

| Autor / Redakteur: Jason Kent, Qualys / Stephan Augsten

Selenium IDE ist eine integrierte Entwicklungsumgebung für Selenium-Skripte. Mit dem Open-Source-Tool, das als Firefox-Add-on implementiert ist, kann man Interaktionen mit einer Webanwendung aufnehmen, wie etwa das Anklicken verschiedener Schaltflächen oder das Einloggen auf einer Website.

Firma zum Thema

Das Firefox-Plug-in Selenium IDE prüft Webanwendungen auf eventuelle Probleme.
Das Firefox-Plug-in Selenium IDE prüft Webanwendungen auf eventuelle Probleme.

Mit dem Firefox-Plug-in Selenium IDE lassen sich Testfälle aufzeichnen, bearbeiten und debuggen. In Verbindung mit dem Web-Application-Scanner QualysGuard WASv2 kann man die Aufnahmen im Rahmen eines Webanwendungs-Scans dann wieder abspielen.

Auf der Webseite SeleniumHQ.org finden sich etliche Selenium-Versionen, die sich für jeweils andere Plattformen eignen. Vor dem Verwenden von Selenium IDE schaut man sich am besten diese beiden kurzen Videos zur Installation und Verwendung von Selenium an.

Einführung in Selenium IDE

Integration von Selenium in QualysGuard WAS

Auf dieser Grundlage kann man ein grundlegendes Verständis dafür entwickeln, wie sich Selenium IDE zur Authentifizierung und zum Crawlen komplexer Umgebungen am besten einsetzen lässt.

Für welche Zwecke ist Selenium IDE am besten geeignet?

Besonders häufig wird Selenium zur Authentifizierung genutzt. Rechner lassen sich manchmal nur schwer dazu bringen, korrekt mit Anwendungen zu arbeiten, die zur Interaktion mit Menschen entwickelt wurden

Ein Mensch kann zumeist leicht feststellen, wo sich die Felder für den Benutzernamen und das Passwort sowie die Schaltflächen für das Einloggen oder das Absenden von Anfragen in einer Anwendung befinden – ein Rechner ist dazu nicht immer in der Lage. Oft will man jedoch auch weiter in die Tiefen der Anwendung vorstoßen und muss an einem Formular vorbei navigieren, um dort hinzugelangen.

Ich verwende in diesem Zusammenhang gern das Beispiel vom Kauf eines Flugtickets. Dazu muss man zunächst das Abflugdatum wissen. Dieses Datum darf nicht in der Vergangenheit liegen und auch nicht zu weit in der Zukunft. Dann muss man den Abreise- und den Ankunftsort kennen, und an diesen Orten muss es Flughäfen geben.

All dies ist für einen Menschen ziemlich selbstverständlich, für einen Computer jedoch nicht unbedingt. Wenn man das Reisedatum, den Abreise- und Ankunftsort nun aufzeichnet und damit eine Suche startet, sind die meisten interaktiven Vorgänge bereits abgedeckt.

Der Scanner kann eine Webanwendung anhand der hinterlegten Skripte also wesentlich gründlicher untersuchen. Wenn Sie anschließend die Authentifizierung auf einer Website vereinfachen und tiefer in die Anwendung vordringen können, dann kann wir ihr Security-Scanner erst richtig leistungsfähig.

Über den Autor

Jason Kent ist Director Web Application Security bei Qualys Inc.

(ID:35482300)