Test: Appscan 6.0
Gelungener Web- Application-Scanner
Hacker versuchen immer häufiger, gezielt Unternehmensapplikationen zu unterwandern. Kriminelle Sabotage und Spionage nehmen zu. Mit dem Applikations-Scanner Appscan 6.0 haben Administratoren eine gute Chance, Sicherheitsprobleme vor dem Angreifer zu erkennen und zu beheben.
Die Sicherheit der einzelnen über das Internet erreichbaren Systeme nimmt in den typischen
Unternehmensnetzen zum Glück immer mehr zu. Systemadministratoren spielen Patches regelmäßig ein
und konfigurieren die Systeme immer häufiger unter Sicherheitsgesichtspunkten. Außerdem lernen auch
die Hersteller hinzu und sichern ihre Produkte von Hause aus immer besser ab, wie zum Beispiel die
neue Architektur der Internet Information Services IIS 6 von Microsoft zeigt.
Neuer Angriffspunkt für Hacker
Der Schwerpunkt der Hacker-Aktivitäten hat sich vor diesem Hintergrund in der letzten Zeit
verlagert, weg von den typischen und lang bekannten Angriffen gegen Systeme im Netz – zum Beispiel
Buffer-Overflow-Attacken – und hin zu Angriffen gegen Applikationen. Hier widmen sich die Angreifer
in erster Linie den Webapplikationen, da diese üblicherweise von den verschiedensten Firmen und mit
durchaus unterschiedlichster Qualität erstellt werden. Sie sind oft ein einfaches Ziel, selbst für
weniger erfahrene Hacker. Viele Anbieter konzentrieren sich deshalb bereits auf das Thema der
absicherung von Webanwendungen.
Watchfire hat Ende 2005 die Version 6.0 des etablierten Web Scanners "Appscan" veröffentlicht.
Das Produkt soll Webmastern helfen, die typischen Sicherheitsprobleme von Webapplikationen mit
Hilfe von automatisierten Tools zu erkennen und zu beheben. Appscan enthält dabei drei grundlegende
Funktionsbereiche: den eigentlichen Scanner, ein Reporting Tool und schließlich Werkzeuge, um bei
Bedarf die Ergebnisse manuell zu verifizieren.
Die Zuverlässigkeit der Ergebnisse ist wichtiges Qualitätsmerkmal solcher Security Scanner.
Daher wurde Appscan 6.0 einem ausführlichen Praxistest unterzogen. Als Testumgebung diente eine
Apache-Tomcat-Installation mit der Webapplikation Hacmebooks des Anbieters Foundstone
(www.foundstone.com), die mehrere sicherheitsrelevante Applikationsfehler aufwies.
Da es sich bei Appscan um ein kommerzielles Produkt handelt, muss zuerst eine Lizenz eingespielt
werden. Watchfire bietet siebentägige Evaluierungslizenzen an, mit der drei unterschiedliche
Webapplikationen untersucht werden können. Die Lizenz ist an die MAC-Adresse des scannenden Systems
gekoppelt und kann über die Website von Watchfire angefordert werden. Das Einspielen erfolgt dann
direkt innerhalb des Scanners, sofern eine funktionierende Internetverbindung verfügbar ist.
Zusätzlich erhält man die Lizenz auch per E-Mail, um sie gegebenenfalls manuell zu
installieren.
Als nächster Schritt wird grundsätzlich ein Update von Appscan durchgeführt, um das Produkt auf
den aktuellen Softwarestand zu bringen und die Datenbank mit den Sicherheitschecks zu
aktualisieren. Auch hierfür ist eine Internetverbindung zwingend notwendig. Nach einem
Programmneustart ist der Scanner anschließend einsatzbereit.
Die Konfiguration des Scans erfolgt mit Hilfe eines "Configuration Wizards", der alle relevanten
Informationen vom Benutzer abfragt, wie zum Beispiel die URL der zu scannenden Web Applikation oder
Authentifizierungsinformationen, sofern notwendig (Bild 1 und 2).
Brauchbare Voreinstellungen
Danach muss lediglich noch ausgewählt werden, welche Tests durchgeführt werden sollen.
Anschließend tritt der Scanner in Aktion. Im Normalfall ist der Benutzer mit den vorgegebenen
Einstellungen zunächst recht gut beraten. In dieser Konfiguration wird die Webapplikation nach den
meisten relevanten Sicherheitslücken untersucht, und es ist sichergestellt, dass keine Tests
durchgeführt werden, die die Stabilität der Applikation beeinträchtigen können. Hakt der Benutzer
allerdings die Option "Invasive Tests" an, so kann es potenziell auch zu Fehlern innerhalb der
Webapplikation kommen – dafür wird die Anwendung aber auch nach noch mehr Sicherheitslücken
untersucht, und das Testergebnis ist entsprechend umfangreicher. Unsere Screenshots zeigen die
Auswahl der Test-Policy (Bild 3) und den Beginn des Scanvorgangs (Bild 4).
Nach dem Start des Scanvorgangs "surft" Appscan zunächst durch die Webapplikation, um den Aufbau
zu ermitteln. Hierbei füllt das System auch gefundene Formulare mit Testdaten. Dieser auch "
Crawling" oder "Spidering" genannte Vorgang soll alle Punkte finden, an dem Benutzerinformationen
an die Webapplikation übergeben werden können, da an dieser Stelle auch die typischen
Webapplikationsprobleme wie SQL-Injektion, Cross-Site-Scripting und andere greifen.
Sobald der Aufbau bekannt ist, werden alle Punkte, an den Benutzereingaben möglich sind,
diversen Tests unterzogen. Sofern dabei Sicherheitsprobleme gefunden werden, stellt Appscan diese
bereits während des Scans in einer Übersicht zusammen (Bild 5).
Nachdem der Scanvorgang beendet ist, kann sich der Benutzer die Details zu den gefundenen
Sicherheitslücken anschauen und die Ergebnisse gegebenenfalls nochmals manuell verifizieren. Zu
jedem gefundenem Problem gibt es ausführliche Informationen über die Art des Problems, Vorschläge
wie das Problem beseitigt werden kann und zum Beispiel auch die Möglichkeit, die Sicherheitslücke
direkt in einem Browserfenster zu begutachten.
Diese Möglichkeit ist besonders hilfreich, um "False Positives" (Falschmeldungen)
herauszufiltern, die bei automatisierten Tools immer wieder vorkommen. Die Rate an "False Positives"
ist bei Appscan allerdings erfreulich gering. Dies trifft bereits für die Standardeinstellungen
zu, aber die Rate kann durch Feinkonfiguration noch weiter verbessert werden. Trotzdem ist eine
manuelle Überprüfung der Testergebnisse grundsätzlich zwingend notwendig, um sicherzustellen, dass
keine Falschmeldungen ihren Weg in den Bericht finden. Immerhin hängt auch dessen Akzeptanz
entscheidend davon ab, dass der Bericht keine falschen Befürchtungen schürt oder unnötige Maßnahmen
provoziert.
Das Reporting-Tool von Appcan lässt kaum Wünsche offen. Es lassen sich verschiedenste Arten von
Berichten generieren, wie etwa Berichte für das Management (Executive Summary), Detailberichte
inklusive Sourcecode und Beispielen für die Entwickler oder auch Compliance-Berichte zu
verschiedenen Standards. Zusätzlich gibt es noch die Möglichkeit, benutzerdefinierte Berichte zu
generieren, falls einmal kein passendes Template vorhanden ist.
Flexibles Reporting
Die Vorlagen lassen sich mit einem Texteditor recht einfach erstellen, wobei die vorhandenen
Vorlagen können als Ausgangsbasis dienen können. Da das Thema "Compliance zu definierten Standards"
auch in Europa immer wichtiger wird (zum Beispiel Basel 2) bezieungsweise Unternehmen, die an der
amerikanischen Börse notiert sind, sich den US-Regularien wie Sarbanes Oxley unterwerfen müssen,
bietet Watchfire mit dieser Funktion eine deutliche Erleichterung bezüglich Erfüllung dieser
Standards an.
Der fertige Bericht kann dann über eine Preview-Funktion angesehen werden (Bild 6) und lässt
sich in verschiedenen Formaten wie zum Beispiel PDF und RTF oder als HTML-Seite speichern.
Auch ein Export der Ergebnisse im XML- oder Firebird-DB-Format ist vorgesehen, um die Ergebnisse
in andere Tools transportieren zu können. Dort ließe sich dann zum Beispiel die Fehlerbehebung
überwachen. Insgesamt ergab der Praxistest, dass Appscan seine Aufgabe sehr zuverlässig erfüllt.
Die Fehler, die durch automatisierte Tools der heutigen Generation auffindbar sind, wurden auch
gefunden.
Fazit
Mit Appscan 6.0 hat Watchfire einen Web-Application-Scanner entwickelt, der sein Geld auf alle
Fälle wert ist, vor allem da Watchfire mit einem sehr flexiblen Lizenzmodell arbeitet. Die richtige
Konfiguration vorausgesetzt, liefert er zuverlässige Ergebnisse. Wer allerdings die Erwartung an
ein automatisiertes Tool stellt, dass dieses alle Probleme mit hundertprozentiger
Wahrscheinlichkeit findet, wird sicherlich enttäuscht. Hierzu sind andere Methoden wie zum Beispiel
ein Code Audit notwendig, der aber ebenfalls nie eine hundertprozentige Garantie bietet. In der
Klasse der Web-Application-Scanner gehört Appscan 6.0 auf alle Fälle zur ersten Garde.
Lesen Sie mehr zum Thema
