Fachartikel

Im Test: Crashtest Security Suite

Webseiten sind das Tor für Unternehmen in die Online-Welt – und gleichzeitig einer der beliebtesten Angriffspunkte für Hacker. Je interaktiver und dynamischer eine Webseite ist, desto mehr potenzielle Schwachpunkte gibt es. Hier als Administrator den Überblick zu behalten, fällt nicht leicht. Das Münchner Unternehmen Crashtest Security bietet einen Online-Schwachstellenscanner an, mit dem Firmen ihre Webseiten unter die Lupe nehmen können. IT-Administrator hat das leistungsfähige Tool ausprobiert.
Das Dashboard von Crashtest Security präsentiert sich aufgeräumt und übersichtlich. Darin finden sich unter anderem die letzten Scanresultate sowie die angelegten Projekte.
Mittels Crashtests untersucht die Automobilbranche seit Jahrzehnten ihre neu entwickelten Fahrzeuge auf deren Stabilität und Sicherheit. Ähnliches ist auch in der IT möglich, indem Administratoren ihre eigenen Systeme testweise angreifen. So kommen sie Hackern zuvor, die bislang unentdeckte Schwachpunkte in den eingesetzten Produkten oder in deren Konfiguration ausnutzen. Webseiten sind dabei besonders exponiert, da diese von vornherein frei über das Internet zugänglich sind und außerdem im Laufe der Zeit immer dynamischer wurden. Firmen sind deshalb gut beraten, ihren Webauftritt regelmäßig auf Schwachstellen zu überprüfen, um Angreifern möglichst keine Einstiegspunkte zu bieten.

Mit der Crashtest Security Suite bietet das deutsche Unternehmen Crashtest Security einen leicht zu nutzenden Online-Dienst, der genau das übernimmt. So müssen Administratoren nicht mit umständlichen oder teuren Anwendungen hantieren, sondern können einfach per Browser ihren Webauftritt in Augenschein nehmen. Einen Orientierungspunkt bieten dabei die Top10-Schwachstellen des "Open Web Application Security Project", kurz OWASP. Dabei stellt das Projekt auf allgemeine Angriffsmethoden wie etwa Injections ab und nicht auf konkrete Schwachstellen gemäß CVE-Nomenklatur.

Um aussagekräftige Ergebnisse beim Scannen zu erzielen, hat uns der Anbieter eine Demoseite zur Verfügung gestellt, die wir auf Schwachstellen hin überprüfen konnten. Als Webseite definiert Crashtest "eine traditionelle Anwendung, die mit einer serverseitigen Programmiersprache geschrieben wurde." Für das Scannen einer REST-API benötigen die Nutzer noch eine Swagger-2.0-Datei, die die API für das Scannen beschreibt. Single-Page-Seiten sollen übrigens auch als API-Projekt angelegt werden. Wir beschränkten uns im Test auf den Scan einer Multi-Page-Webseite.

Fazit
Die Crashtest Security Suite bietet eine leicht zu bedienende Weboberfläche für regelmäßige Scans von Webseiten und REST-APIs. Damit behalten IT-Verantwortliche den Überblick über den Sicherheitsstatus ihrer Online-Präsenz. Hervorzuheben ist das intuitive Dashboard als zentrale Anlaufstelle, das sich selbsterklärend verwenden lässt. Eigene Projekte sind rasch angelegt und konfiguriert. Ob die Detailtiefe dabei den eigenen Ansprüchen wirklich genügt, muss jeder Administrator für sich und seine Anforderungen entscheiden. Den PDF-Bericht empfanden wir jedoch als sehr umfassend und hilfreich.

Der Full Scan zeigte sich sorgfältig und lieferte in unserem Test zahlreiche Ergebnisse zurück. Hier wären ein paar mehr Einstellmöglichkeiten für Profis wie etwa das Ausklammern bestimmter Tests wünschenswert. Besonders gefallen haben uns derweil auch die flexiblen Möglichkeiten zur Automatisierung der Tests sowie die weitergehenden Hinweise zu den gefundenen Schwachstellen. Insgesamt zeigt sich die Crashtest Security Suite als sehr durchdacht, was für den aufgerufenen Preis allerdings auch die Erwartungshaltung sein sollte.

Den kompletten Test finden Sie in Ausgabe 10/2019 ab Seite 20.
30.09.2019/ln/Daniel Richey

Nachrichten

Android-Smartphones gefährdet [7.08.2020]

Check Point hat nach eigenen Angaben mehrere Sicherheitslücken im Code von Qualcomms "Digital Signal Processor" (DSP) gefunden – einem Chip, der in fast 40 Prozent aller Smartphones weltweit verbaut ist. Sie sehen darin eine Bedrohung, die über Monate oder Jahre bestehen könnte, weil die Behebung kompliziert sei. [mehr]

Schwachstellen auf meetup.com entdeckt [6.08.2020]

Das Research Team von Checkmarx hat zwei Sicherheitslücken auf der Onlineplattform "meetup.com" entdeckt – einem Portal, um persönliche oder virtuelle Treffen zu organisieren. Mithilfe der Schwachstellen könne ein Angreifer sich bei Meetup-Events zunächst Co-Organisatorrechte sichern und dann Zahlungen der Teilnehmer auf beliebige PayPal-Konten umleiten. [mehr]

Tipps & Tools

SUSE übernimmt Rancher Labs [17.07.2020]

SUSE hat mit dem US-Open-Source-Unternehmen Rancher Labs den Anbieter einer marktführenden Kubernetes-Managementplattform akquiriert. Rancher Labs' Plattform ist für die Verwaltung sehr großer Kubernetes-Installationen ausgelegt und unterstützt dabei auch Multiclouds. [mehr]

vCenter-Zertifikat austauschen [7.06.2020]

Jede vCenter-Serverinstanz hat nach der Installation ein selbst ausgestelltes Zertifikat. Sobald die Website der vCSA aufgerufen wird, erscheint eine Warnung bezüglich der Sicherheit. Um dies zu verhindern, können Sie entweder das Root-Zertifikat herunterladen und in den vertrauenswürdigen Speicher installieren oder das Machine-Zertifikat gegen ein eigenes ersetzen. Unser Tipp zeigt, wie das funktioniert.  [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen