Tweet
Weil ich hier jetzt eigentlich nichts zum Thema "Web Security" gefunden habe, hielt es doch für ganz wichtig und nicht schlecht wenn man ein paar User auf Security Scanner hinweist.
Security Scanner überprüfen automatisiert Webanwendungen nach Sicherheitslücken und nennen die Einstiegspunkte wo z.B. die DB manipuliert bzw. ausgelesen werden kann.
Weil man gerade bei PHP sehr anfällig für einige Sicherheitslücken ist (SQL Injection, XSS), besonders wenn man des öfteren Usereingaben wiedergibt oder DB-Verbindungen verwendet und vergessen hat diese richtig zu escapen, sollte man immer hinterher nochmal alle Parameter und Eingabewertmöglichkeiten für den User/Besucher überprüfen.
Die Überprüfung der Scripte nach der nachfertigstellung sollte man grundsätzlich wahrnehmen, vorallem wenn man im kommerzielen Bereich arbeitet.
Als Softwarevariante gäbe es den:
Acunetix WVS, welches sogar ein kostenlose XSS Scanner anbietet (funktioniert auch ganz gut).
Ratproxy - hab ich bisher noch nicht getestet, scannt leider auch nur nach XSS
Online Scanner gäbe es auch welche:
Gamasec bietet glaub ich einen kostenlosen scan an, deckt etwas mehr wie XSS ab.
WebScanService kann auch kostenlos hergenommen werden. Das spektrum an Testmethoden / Überprüfungen ist zudem größer als bei den anderen.
Die oben genannten Scanner sind kostenlos und sind aufjedenfall mal einen Blick wert.
Eine vollständige Liste der verfügbaren (allerdings größtenteils kommerziellen) Scanner gibt es auf der WASC-Projektwebseite.
Wer bereits Erfahrungen mit weiteren guten/schlechten Sicherheitsscannern gemacht hat, kann gerne beim vervollständigen der Liste helfen
Ich arbeite selber für eine Web Security Firma, die auch den Scanner "WebScanService" vertreibt, da bin ich dann natürlich auch sehr über Kritik und Meinungen zu diesem Thema interessiert
Security Scanner überprüfen automatisiert Webanwendungen nach Sicherheitslücken und nennen die Einstiegspunkte wo z.B. die DB manipuliert bzw. ausgelesen werden kann.
Weil man gerade bei PHP sehr anfällig für einige Sicherheitslücken ist (SQL Injection, XSS), besonders wenn man des öfteren Usereingaben wiedergibt oder DB-Verbindungen verwendet und vergessen hat diese richtig zu escapen, sollte man immer hinterher nochmal alle Parameter und Eingabewertmöglichkeiten für den User/Besucher überprüfen.
Die Überprüfung der Scripte nach der nachfertigstellung sollte man grundsätzlich wahrnehmen, vorallem wenn man im kommerzielen Bereich arbeitet.
Als Softwarevariante gäbe es den:
Acunetix WVS, welches sogar ein kostenlose XSS Scanner anbietet (funktioniert auch ganz gut).
Ratproxy - hab ich bisher noch nicht getestet, scannt leider auch nur nach XSS
Online Scanner gäbe es auch welche:
Gamasec bietet glaub ich einen kostenlosen scan an, deckt etwas mehr wie XSS ab.
WebScanService kann auch kostenlos hergenommen werden. Das spektrum an Testmethoden / Überprüfungen ist zudem größer als bei den anderen.
Die oben genannten Scanner sind kostenlos und sind aufjedenfall mal einen Blick wert.
Eine vollständige Liste der verfügbaren (allerdings größtenteils kommerziellen) Scanner gibt es auf der WASC-Projektwebseite.
Wer bereits Erfahrungen mit weiteren guten/schlechten Sicherheitsscannern gemacht hat, kann gerne beim vervollständigen der Liste helfen
Ich arbeite selber für eine Web Security Firma, die auch den Scanner "WebScanService" vertreibt, da bin ich dann natürlich auch sehr über Kritik und Meinungen zu diesem Thema interessiert
Moderatorin
Kommentar