Wichtige Tools für Sicherheitsanalysen von Web-Anwendungen

Cyberkriminalität – insbesondere Angriffe auf Unternehmen – ist eine seit Jahren wachsende Bedrohung. Die mit Abstand meisten Angriffe auf IT-Systeme richten sich mittlerweile gegen Web-Anwendungen und Webserver. Das ist naheliegend, denn Daten und Applikationen werden zunehmend cloudbasiert gespeichert. Auch wenn es keine hundertprozentige Sicherheit gibt und vermutlich nie geben wird, können Sie als Unternehmen Maßnahmen ergreifen, um dem Status „nicht hackbar” so nahe wie möglich zu kommen. Ein wesentlicher erster Schritt besteht darin, den bestehenden Sicherheitsgrad Ihrer eigenen Web-Anwendungen zu ermitteln. Doch welche Möglichkeiten gibt es, um Sicherheitsanalysen von Web-Anwendungen durchzuführen?

Zed Attack Proxy (ZAP)

Das Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation mit dem Ziel, die Sicherheit von Anwendungen und Diensten im Internet zu verbessern und vor Cyberkriminalität zu schützen. Zu diesem Zweck hat die Organisation unter anderem das Open-Source-Tool „Zed Attack Proxy” (ZAP) entwickelt. Damit können Sie Web-Apps automatisiert auf Sicherheitslücken prüfen und gezielte Angriffe simulieren. Das Tool ist bewusst einfach aufgebaut und einsteigerfreundlich gestaltet. ZAP bietet sowohl automatisierte Scanner als auch eine Reihe von Werkzeugen, mit denen Entwickler und funktionale Tester Sicherheitsschwachstellen manuell aufdecken können – beispielsweise im Rahmen von Red-Teaming-Übungen.

Burp Proxy

Eine weitere Möglichkeit zum Schutz Ihrer Web-Anwendungen bietet Burp Proxy – ein abfangender Proxy-Server, der auf Sicherheitsanalysen von Web-Anwendungen spezialisiert ist. Er ermöglicht das Abfangen und Modifizieren des gesamten HTTP(S)-Verkehrs in beide Richtungen und arbeitet mit benutzerdefinierten SSL-Zertifikaten sowie nicht-proxy-fähigen Clients. Das Tool lässt sich auf Windows-Rechnern installieren und einfach einrichten, ist aber auch unter macOS und Linux nutzbar. Neben der kostenpflichtigen Vollversion steht Burp Suite auch als eingeschränkte kostenlose Version zur Verfügung.

w3af

w3af ist eine Open-Source-Webanwendung für Sicherheitsscans. Sie bietet Schwachstellen-Scanner und Exploit-Tools zum Schutz von Web-Anwendungen. Das Projekt spielt eine wichtige Rolle bei Penetrationstests, da es detaillierte Informationen über Sicherheitsschwachstellen liefert. w3af lässt sich auch unter macOS installieren.

Chrome-spezifische Sicherheits-Tools

Mehr als die Hälfte aller Internetnutzer verwendet Google Chrome als Browser (Quelle: Statista). Um dem wachsenden Sicherheitsbedürfnis gerecht zu werden, bietet Google eine ganze Palette an Chrome-spezifischen Tools, mit denen Sie Web-Anwendungen absichern können. Dazu zählt beispielsweise der Request Maker – ein Werkzeug, mit dem Sie von Webseiten gestellte Anfragen erfassen, URL, Header und POST-Daten manipulieren sowie neue Anfragen erstellen können.

Der Session Manager ermöglicht es Ihnen, den aktuellen Browserzustand zu speichern und bei Bedarf wiederherzustellen. Sie können mehrere Sitzungen verwalten, umbenennen oder aus der Sitzungsbibliothek entfernen. Jede Sitzung speichert den Zustand des Browsers zum Zeitpunkt ihrer Erstellung, also die geöffneten Tabs und Fenster.

Die Web-Developer-Erweiterung fügt dem Browser eine Symbolleisten-Schaltfläche mit verschiedenen Webentwickler-Tools hinzu. Damit können Sie den Webseiten-Code detailliert analysieren oder sogar bearbeiten und sich den HTML- sowie CSS-Code einer Seite anzeigen lassen. Die Erweiterung erkennt sogar Fehler in beiden Bereichen und gibt diese aus.

Tools für Firefox

Schon bevor Google ein Web Developer Plugin auf den Markt brachte, gab es eines für Firefox. Darüber hinaus verfügt auch dieser Browser über eigene Tools zum Schutz von Web-Anwendungen. Wenn Sie die HTTP-Anfragen Ihrer Website Schritt für Schritt auswerten möchten, können Sie auf Live HTTP Headers zurückgreifen. Die gewonnenen Informationen sind hilfreich bei der Problembehandlung, Analyse und Optimierung Ihrer Website.

Die Firefox-Erweiterung Tamper Data 10.1.1 protokolliert kostenlos jede HTTP-Anfrage und alle Antworten des Webservers. Indem Sie den Datenstrom zwischen Ihrem PC und allen kontaktierten Webseiten analysieren, können Sie Sicherheitslücken zuverlässig aufdecken und anschließend beheben.

Fazit

Der Schutz von Web-Anwendungen ist heute unverzichtbar. Um Sie dabei zu unterstützen, steht eine Vielzahl an (kostenlosen) Tools zur Verfügung, mit denen Sie die Sicherheit Ihrer Anwendungen überprüfen können. Diese lassen sich in der Regel einfach installieren und bedienen, um Sicherheitsrisiken oder Datenlecks zu identifizieren. Das ist allerdings erst die halbe Miete – denn um Ihre Anwendungen bestmöglich zu schützen, müssen die erkannten Schwachstellen auch behoben werden.