Webanwendungs-Sicherheitslücken: Automatisierte Scanner im Vergleich zur manuellen Suche

Es existieren zahlreiche Webapp-Vulnerability-Scanner, die automatisiert nach Sicherheitslücken suchen. Doch welche Vor- und Nachteile bringen diese Scanner mit sich, und kann die manuelle Suche nach Sicherheitslücken vollständig ersetzt werden?

Automatisierte Vulnerability-Scanner: Ein Überblick

Es gibt eine Vielzahl von automatisierten Webapp-Vulnerability-Scannern, die auf schnelle und automatische Identifikation von Sicherheitslücken abzielen. Diese Scanner können sowohl als kostenlose Open-Source-Tools, bei denen der Sourcecode von der Community überprüft und erweitert werden kann, als auch als kommerzielle Produkte erhältlich sein. Unabhängig von der Philosophie des Tools ist das Hauptziel immer dasselbe: das Aufspüren von Sicherheitslücken.

Vorteile automatisierter Tools

Die Vorteile solcher Tools liegen auf der Hand: Sie ermöglichen eine schnelle und kostengünstige Überprüfung von Webanwendungen, wodurch Sicherheitslücken effizient erkannt werden können. Daher können diese Tools nahtlos in den Continuous-Integration-Prozess integriert werden.

Nachteile automatisierter Tools

Trotz ihrer Vorteile sind automatisierte Scanner nicht ohne gewichtige Nachteile:

Fehlender Kontext

Diese Tools stossen häufig an Grenzen aufgrund fehlenden Kontexts, was dazu führt, dass Sicherheitslücken unentdeckt bleiben. Das Erfassen des Kontexts stellt eines der Hauptprobleme dar und zeigt sich auf drei Ebenen:

• API: Die Tools analysieren jeden einzelnen Endpoint separat, sind jedoch nicht in der Lage, Verbindungen zwischen den einzelnen Endpoints herzustellen oder deren Zusammenhang zu erkennen.
• Logischen Funktionen der Webanwendung: Insbesondere der Geschäftszweck (Business Case), bleiben für diese Tools verborgen. Dadurch können sie keine logischen Fehler identifizieren. Ein Beispiel hierfür ist, wenn eine Webanwendung mehrere Mandanten hat – diese Information bleibt den Tools verborgen, was ihre Fähigkeit zur Entdeckung entsprechender Sicherheitslücken beeinträchtigt.
• Source-Code: Tools, die den Quellcode analysieren, sind nicht immer in der Lage zu bestimmen, ob der Input unter der Kontrolle des Benutzers steht.

Begrenzte Sichtweite

Die Tools können nicht alle Aspekte einer Webanwendung erfassen. Beispielsweise können sie einen Passwort-Reset-Mechanismus nicht vollständig testen, da sie keine E-Mails lesen können.

Hohe False-Positiv-Rate

Automatisierte Tools weisen oft eine hohe Rate an Falsch-Positiven auf, was eine genaue Überprüfung der umfangreichen Berichte erfordert, um zwischen tatsächlichen Lücken und irrtümlichen Meldungen zu unterscheiden.

Falsches Sicherheitsgefühl

Die ausschliessliche Abhängigkeit von automatisierten Tools kann zu einem falschen Sicherheitsgefühl führen, da diese möglicherweise nicht alle Sicherheitslücken aufdecken.

Fazit

In unseren Penetrationstests verwenden wir automatisierte Tools als Möglichkeit, einen Überblick über Webanwendungen zu erhalten. Jedoch bleibt das manuelle Testen für eine umfassende Sicherheitsprüfung unerlässlich. Obwohl automatisierte Tools immer fortschrittlicher werden und KI bereits in diesem Bereich Anwendung findet, können bestimmte Schwachstellen nur manuell erkannt werden. Wir empfehlen den Einsatz solcher Tools als zusätzlichen Sicherheitslayer in der Continuous-Integration-Pipeline oder bei den Entwicklern, warnen jedoch davor, sich ausschliesslich darauf zu verlassen.

Die Auswahl des geeigneten Tools hängt von den spezifischen Anforderungen und der Natur der Anwendung ab und sollte situationsabhängig getroffen werden.