Wichtige Tools für Sicherheitsanalysen von Web-Anwendungen

Cyberkriminalität, konkret Angriffe auf Unternehmen, ist eine seit Jahren steigende Bedrohung. Die mit Abstand größte Zahl der Angriffe auf IT-Systeme zielt dabei inzwischen auf Web-Anwendungen und Webserver. Logisch, denn Daten und Applikationen werden zunehmend cloudbasiert gespeichert. Auch wenn es keine hundertprozentige Sicherheit gibt und wohl auch nie geben wird, kann man als Unternehmen Maßnahmen ergreifen umso nahe wie möglich an den Status „nicht hackbar“ heranzukommen. Ein wesentlicher erster Schritt ist dabei die Feststellung des bereits bestehenden Sicherheitsgrades der eigenen Web-Anwendungen. Aber welche Optionen gibt es, um Sicherheitsanalysen von Web-Anwendungen durchzuführen?

Zed Attack Proxy (ZAP)

Das Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation, die sich zum Ziel gesetzt hat, die Sicherheit von Anwendungen und Diensten im Internet zu verbessern und vor Cyber-Kriminalität zu schützen. Zu diesem Zweck haben sie unter anderem das Open-Source-Tool „Zed Attack Proxy“ (ZAP) entwickelt. Es ermöglicht Ihnen Web-Apps automatisiert auf Sicherheitslücken zu überprüfen und Angriffe durchzuführen. Das Tool ist dabei äußerst einfach aufgebaut und bewusst Anfänger-freundlich gehalten. ZAP bietet sowohl automatisierte Scanner als auch eine Reihe von Werkzeugen, mit denen Entwickler und funktionale Tester Sicherheitsschwachstellen, zum Beispiel im Rahmen des Red Teamings (bitte entsprechenden Beitrag verlinken), manuell finden können.

Burp Proxy

Eine weitere Option, um die eigenen Web-Anwendungen zu schützen ist der Burp Proxy, ein abfangender Proxy-Server spezialisiert auf Sicherheitsanalysen von Web-Anwendungen. Er ermöglicht das Abfangen und Modifizieren des gesamten HTTP(S)-Verkehrs in beide Richtungen und kann mit benutzerdefinierten SSL-Zertifikaten und nicht-proxy-fähigen Clients arbeiten. Das Tool lässt sich auf Windows-Rechnern installieren und einfach einrichten. Zudem lässt sich die Software auch auf MacOS und Linux nutzen. Neben der kostenpflichtigen Vollversion steht Burp Suite auch als eingeschränkte kostenlose Version zur Verfügung.

w3af

w3af ist eine Open-Source-Webanwendung, die für Sicherheitsscans verwendet wird. Die Anwendung bietet Schwachstellen-Scanner und Exploit-Tools, um Web-Anwendungen zu schützen. Dieses Projekt spielt eine wichtige Rolle bei der Durchführung von Penetrationstests, da es Informationen über Sicherheitsschwachstellen liefert. w3af kann auch in MacOS installiert werden.

Chrome-spezifische Sicherheits-Tools

Mehr als die Hälfte der Internetuser nutzt Google Chrome als Browser (Quelle: Statista). Um dem steigenden Bedürfnis nach Sicherheit gerecht zu werden, bietet Microsoft eine ganze Palette an Chrome-spezifischen Tools, um Web-Anwendungen sicher zu halten. Dazu zählt beispielsweise der Request Maker, ein Werkzeug, mit dem Sie einfach von Webseiten gestellte Anfragen erfassen, die URL, Header und POST-Daten manipulieren und neue Anfragen stellen können. Der Session Manager erlaubt Ihnen Ihren aktuellen Browserzustand zu speichern und bei Bedarf wieder zu laden. Sie können mehrere Sitzungen verwalten, sie umbenennen oder aus der Sitzungsbibliothek entfernen. Jede Sitzung merkt sich den Zustand des Browsers zum Zeitpunkt ihrer Erstellung, d. h. die geöffneten Registerkarten und Fenster. Die Web-Developer-Erweiterung fügt dem Browser eine Symbolleisten-Schaltfläche mit verschiedenen Webentwickler-Tools hinzu. Mit dem Tool können Sie den Webseiten-Code detailgenau analysieren oder sogar bearbeiten und sich den HTML- und CSS-Code einer Seite anzeigen lassen. Die Erweiterung kann sogar Fehler in beiden Bereichen auszumachen und ausgeben.

Tools für Firefox

Schon bevor Google ein Web Developer Plugin auf den Markt brachte, gab es eines für Firefox. Darüber hinaus verfügt auch dieser Browser über eigene Tools, um Web-Anwendungen zu schützen. Wer Schritt für Schritt die HTTP-Anfragen seiner Homepage auswerten möchte, kann dabei auf Live HTTP Headers als Tool zurückgreifen. Die gewonnenen Informationen sind hilfreich bei der Problembehandlung, Analyse und Optimierung der eigenen Website.Web Developer Plugin Die Firefox-Erweiterung Tamper Data 10.1.1 protokolliert kostenlos jede HTTP-Anfrage und alle Antworten des Webservers. Indem Sie den Datenstrom zwischen Ihrem PC und allen kontaktierten Webseiten analysieren können Sie einfach Sicherheitslecks feststellen und in der Folge beheben.

Fazit

Web-Anwendungen zu schützen ist heute unerlässlich. Um Sie dabei zu unterstützen, gibt es eine Vielzahl an (kostenlosen) Tools, um die Sicherheit der eigenen Anwendungen sicherzustellen. Diese sind in der Regel einfach zu installieren und zu bedienen, um Sicherheitsrisiken oder Datenlecks zu identifizieren. Dies ist allerdings erst die halbe Miete. Denn um die eigenen Anwendungen bestmöglich zu schützen, müssen diese erkannten Schwachstellen auch behoben werden.