Schwerpunkte

Internet-Security: Schwachstellenanalyse

Service von Qualys spurt Schwachstellen in Web-Anwendungen auf

23. April 2009, 09:23 Uhr   |  Bernd Reder | Kommentar(e)

Service von Qualys spurt Schwachstellen in Web-Anwendungen auf

Der Web-Application-Scanning-Service von Qualys zeigt detailliert an, welche Sicherheitslücken in Web-Anwendungen vorhanden sind.

Mit »Qualys Guard« können Anwender ihre Web-Anwendungen auf Sicherheitslöcher hin untersuchen. Qualys bietet die »Web-Application-Scanning«-Funktion als Software as a Service an.

Die US-Firma Qualys bietet den Service unter der Bezeichnung »Qualys Guard Web Application Scanning (WAS) 1.0« an. Er ist Bestandteil der Software-as-a-Service-Suite » Qualys Guard«.

Die Lösung testet vollautomatisch kundenspezifische Web-Anwendungen, um die häufigsten Schwachstellen zu ermitteln, die unter anderem in den OWASP-Top-10 und der WASC-Threat-Classification aufgeführt sind. Dazu zählen beispielsweise SQL-Injection und Cross-Site Scripting.

Mit WAS lassen sich nach Angaben des Anbieters beliebig viele interne oder externe Web-Anwendungen in Produktions- und Entwicklungsumgebungen scannen. Das Produkt vermarktet Qualys als SaaS. Anwender verwalten über eine Benutzeroberfläche Web-Applikationen, starten Scans und erzeugen Report.

Steuerung über Black- und Whitelists

Ein eingebetteter Web-Crawler parst HTML-Code und teilweise Javascript, um Links zu extrahieren. Pro Web-Anwendungen lassen sich bis zu 5000 Links analysieren.

Qualys Guard WAS unterstützt http-Basic-, Digest- und serverbasierte NTLM-Authentifizierung sowie einfache Formularauthentifizierung. Die Lösung verhindert, dass der Crawler Links in einer Web-Anwendung »besucht«, die in einer Blacklist aufgeführt sind. Außerdem kann sie den Crawler anweisen, nur diejenigen Web-Seiten aufzurufen, die in einer Whitelist definiert sind.

Damit die Scan-Vorgänge die Leistung der Anwendung nicht beeinträchtigen, stellt WAS Funktionen für die Bandbreitenkontrolle zur Verfügung. Dadurch ist es möglich, parallel mehrere Scans durchzuführen.

»Web-Application-Security ist die neue Verteidigungslinie im Sicherheitsbereich und stellt für die meisten Unternehmen eine große Herausforderung dar«, sagt Philippe Courtot, Chairman und CEO von Qualys. »Dank der Automatisierung unserer neuen Lösung können unsere Kunden per Knopfdruck ihre gesamte Umgebung scannen und sich so einen Überblick über die Sicherheit ihrer Applikationen verschaffen.«

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Qualys scannt Web-Anwendungen für PCI-Compliance

Verwandte Artikel

Qualys

IT-Security

Internet