Regensburg, 2. September 2008 ---- art of defence, europaweit das einzige Unternehmen mit Sicherheitsprodukten für den gesamten Lebenszyklus von Web-Anwendungen, rundet sein Portfolio mit einem Web Application Vulnerability Scan Server ab: hyperscan kann Web-Anwendungen auf Sicherheitslücken wie SQL-Injection oder Cross-Site-Scripting (XSS) von außen überprüfen ohne Kenntnis des Quellcodes oder der IT-Infrastruktur. Somit ergänzt hyperscan ideal klassische Schwachstellen-Scanner, die nach bekannten Sicherheitslücken in Standardsystemen suchen. Geschäftsführer, CSOs/CIOs sowie Entwicklungsleiter haben dank der rollenbasiert aufbereiteten und automatisch generierten Reports jederzeit Überblick über den Sicherheitszustand ihrer Web-Anwendungen.
Der Web Application Vulnerability Scan Server erfasst den kompletten Aufbau einer Web-Applikation, indem er sich zum einen vom Entry-Point ausgehend mit einem intelligenten Crawl-Mechanismus durch die erreichbaren Links arbeitet. Bei der Prüfung dynamischer Website-Bereiche kann dieser Crawl-Mechanismus zum anderen durch manuelles Browsen ergänzt werden. Dies trägt vor allem bei der Erkennung von Schwachstellen in Web-Applikationen bei, die auf Javascript und Ajax basieren. Um Schwachstellen zu finden und aufzuzeigen, penetriert hyperscan die Anwendung mit verschiedenen Methoden und einer eigenen Datenbank, die Signaturen für bekannte Frameworks, Portale und Anwendungen enthält. Dieser Prozess ist vollständig automatisiert und kann in jeder beliebigen Phase des Applikationslebenszyklus eingeplant werden. hyperscan fügt sich in jeden bestehenden Entwicklungs-, Abnahme- und Auditing-Prozess ein. Außerdem ist paralleles Scannen und Crawlen mehrerer unabhängiger Projekte ohne Performanceeinbußen möglich (Multi-Projekt-Fähigkeit) für ein projektübergreifendes umfassendes Monitoring im zeitlichen Verlauf. Auch zur Überprüfung von Outsourcing-Leistungen kommt hyperscan zum Einsatz und spart Zeit bei der Abnahme fremd entwickelter Software-Projekte.
Die entdeckten Schwachstellen werden genau beschrieben und automatisch rollenbasiert aufbereitet beispielsweise in Form von Compliance-Reports, unter anderem nach PCI, ISO 27001, ITIL, Basel II oder OWASP. Geschäftsführer und andere Führungskräfte erhalten einen Kurzüberblick über den aktuellen Sicherheitszustand der Web-Applikation sowie einen chronologischen Ablauf, der wiedergibt, welche Schwachstellen gefunden wurden. Auch CSOs und CIOs haben dank eines kontinuierlichen Monitorings den Sicherheitsstatus der Webanwendungen stets im Blick und erhalten Informationen über Schweregrad und Typ der Verwundbarkeiten. Security-Mitarbeiter sind in der Lage, zu jeder Zeit ihre Anwendungen zu überprüfen und mögliche Schwachstellen an die Entwicklungsleiter zu reporten.
Mit den verschiedenen Möglichkeiten der automatisierten Kommunikation von Schwachstelleninformationen wie Import/Export via XML und AVDL (Application Vulnerability Description Language) passt sich hyperscan zudem sehr gut in umfassendere Web-Application-Security-Konzepte ein, beispielsweise als Ergänzung weiterer Aktivitäten wie Web-Source-Code-Analysen oder dem Einsatz von Web Application Firewalls.
circa 3.200 Zeichen
X