Meldung
Download der Woche: Skipfish
Die Sicherheit von Webservern und -Applikationen gehört meist zum Aufgabengebiet eines Administrators. Dies stellt angesichts zahlreicher Gefahrenquellen wie Cross-Site-Scripting oder SQL-Injektionen eine große Herausforderung dar. Alle aus dem Internet zugänglichen Anwendungen sollten deshalb vor dem produktiven Betrieb und bei Änderungen auf eventuelle Sicherheitslecks überprüft werden. Mit 'Skipfish' wirft Google ein Tool in den Ring, das bekannten Vulnerability-Scannern wie Nessus Konkurrenz machen soll.
 |
|
"Skipfish" bringt den Webserver beim Scannen nach Sicherheitslücken zum Glühen
|
"Skipfish" [1] ist komplett in C geschrieben und laut den Entwicklern hochgradig darauf spezialisiert, mit einer hohen Zahl an HTTP-Anfragen Zielsysteme zu malträtieren. Bis zu 2.000 unterschiedliche Requests pro Sekunden sollen kein Problem sein. Das Werkzeug verwendet beim Schnüffeln nach Sicherheitslücken heuristische Methoden und greift bei Bedarf auf eigene Wortlisten zurück. Laut Google soll die Menge der False Positives zudem äußerst gering ausfallen. Die Software lässt sich über die Kommandozeile bedienen und gibt am Ende des Scan-Vorgangs einen umfangreichen HTML-Report aus. Über Cygwin kann der Nutzer das Programm auch auf einem Windows-Rechner ausführen.
Weitere Infos:
Tipps & Tools
Security Essentials zum Laufen bringen [18.12.2011]
Microsofts Security Essentials sind gerade auf mobilen Rechnern eine Alternative zu kostenpflichtigen Malware-Wächtern. Trotz der gelungenen Installation kann es jedoch vorkommen, dass der Dienst nicht startet - auf dem Bildschirm erscheint stattdessen die Fehlermeldung 'Der Computer wird nicht von Microsoft Security Essentials überwacht, da der Dienst des Programms angehalten wurde. Sie sollten ihn jetzt neu starten.' Ursache für dieses Problem sind nicht selten Inkompatibilitäten mit zuvor installierten Virenwächtern. [mehr]
Spurenloses Surfen im Netz [14.12.2011]
Dass das Internet nur scheinbar anonym ist, bekommen Anfänger mittlerweile schon in den ersten Surf-Grundkursen eingebläut. Jeder Nutzer lässt sich prinzipiell durch die zugeteilte IP-Adresse identifizieren. Doch natürlich gibt es Wege, die eigenen Spuren im Netz zu verwischen beziehungsweise nahezu ganz auszulöschen. Eine Möglichkeit hierzu bietet die kostenfreie Anonymisierungs-Plattform 'JAP AN.ON' der Technischen Universität Dresden. Mit diesem Tool benutzen Sie nach außen eine feste IP-Adresse, die allerdings einer Vielzahl anderer JAP-Nutzern geteilt wird. [mehr]
Digitale Signatur leicht gemacht [7.12.2011]
Benutzerauthentifizierung unter Apache [4.12.2011]
Fachartikel
So vermeiden Sie Social Media-Datenlecks [8.02.2012]
Die steigende Social Media-Nutzung in Unternehmen erhöht das Risiko hinsichtlich Malware-Infektionen und Datenlecks. Antivirus-Software kann das Malware-Risiko zwar im Zaum halten, doch Datenlecks bleiben offen. Auch betriebliche Nutzungsrichtlinien helfen nur bedingt, da sie häufig unterlaufen werden. Wir erklären in diesem Beitrag, wie Sie mit einer Data Leak Prevention-Software der Weitergabe sensibler Unternehmensdaten über Datenlecks effektiv einen Riegel vorschieben. [mehr]
