Die Software kontrolliert Web-Applikationen nach Angaben des Anbieters mit einem Crawl-Mechanismus auf Sicherheitslücken wie SQL Injection oder Cross Site Scripting (XSS) von außen – ohne Kenntnis des Quellcodes oder der IT-Infrastruktur.
Somit ergänze hyperscan klassische Schwachstellen-Scanner, die nach bekannten Sicherheitslücken in Standardsystemen suchen, hieß es. Die Lösung erfasse den Aufbau einer Web-Applikation, indem sie sich zum einen vom Entry Point ausgehend mit dem Crawl-Mechanismus durch die erreichbaren Links arbeite. Bei der Prüfung dynamischer Website-Bereiche könne der Crawl-Mechanismus zum anderen durch manuelles Browsen ergänzt werden. Dies trage zur Erkennung von Schwachstellen bei, die auf JavaScript und Ajax basieren.
Um Schwachstellen zu finden, durchdringe hyperscan die Anwendung mit verschiedenen Methoden und einer eigenen Datenbank, die Signaturen für bekannte Frameworks, Portale und Anwendungen enthält. Die Lösung füge sich dabei in bestehende Entwicklungs-, Abnahme- und Auditing-Prozesse ein, so der Anbieter. Außerdem sei das parallele Scannen und Crawlen mehrerer Projekte möglich (Multi-Projekt-Fähigkeit). Auch zur Überprüfung von Outsourcing-Leistungen könne das Produkt zum Einsatz kommen.
Die entdeckten Schwachstellen werden demnach beschrieben und rollenbasiert aufbereitet – beispielsweise in Form von Compliance-Reports, unter anderem nach PCI, ISO 27001, ITIL, Basel II oder OWASP. Geschäftsführer und andere Führungskräfte erhalten einen Kurzüberblick über den Sicherheitszustand der Web-Applikation sowie einen chronologischen Ablauf, der wiedergibt, welche Schwachstellen gefunden wurden.
CSOs und CIOs bekommen zudem Informationen über Schweregrad und Typ der Verwundbarkeiten. Security-Mitarbeiter sind in der Lage, Anwendungen zu überprüfen und mögliche Schwachstellen an die Entwicklungsleiter zu berichten.
Automatisierung macht Pentesting auch für kleinere Unternehmen erschwinglich, sagt Mareen Dose von indevis.
Die Sicherheitslandschaft ist alles andere als robust. Unter anderem weil die Sichtbarkeit noch immer kritische…
Auch der Einsatz von Open Source Software bringt Herausforderungen mit sich, insbesondere in der IT-Sicherheit,…
Studie von Huawei und Roland Berger beleuchtet Schlüsseltrends und neue Anforderungen an Datenspeicherlösungen im KI-Zeitalter.
Der Ausfall bei CrowdStrike ist nur ein Symptom eines größeren Problems, wenn Unternehmen es versäumen,…
PwC-Studie zeigt: KI hilft vielen Unternehmen dabei, die Effizienz zu steigern, Kosten zu senken und…