Web Application Security

Den Lücken auf der Spur

Manuelle Aufgaben

Neben einem automatisierten Scan überprüfen spezialisierte Dienstleister die komplette Web-Applikation manuell. Notwendig ist diese aufwändige Inspektion, weil es Schwachstellen gibt, die von einem Scanner nicht gefunden oder auch nicht korrekt interpretiert werden. In der Regel werden sämtliche Parameter auf jeder Seite einzeln betrachtet und, ähnlich wie beim Scanner, verschiedene Angriffsmuster ausprobiert. Dieser Schritt erfordert das größte Know-how im gesamten Web-Audit.

Grundsätzlich braucht es Erfahrung und Hintergrundwissen, um ein Audit sinnvoll und mit bestmöglichem Ergebnis betreiben zu können. Hilfe versprechen hierzulande viele Firmen, die eine Prüfung von Web-Applikationen anbieten. Methoden, Werkzeuge und Erfahrung sollten im Einzelfall jedoch hinterfragt werden, denn nur wenige Sicherheitsunternehmen sind tatsächlich darauf spezialisiert und bringen das erforderliche Know-how mit.

Doch auch ohne tief greifende Kenntnisse und in Eigenregie können Unternehmen mit einem Web-Applikations-Scanner mitunter gute Ergebnisse erzielen. Einige Produkte wie etwa der "Acunetix Web Vulnerability Scanner" lassen sich einfach bedienen und liefern für kleines Geld bessere Resultate als ein falsches Gefühl von Sicherheit beim billigsten externen Anbieter.