Abo
  • Services:

Webapplikationen bergen neue Risiken

Noch schwieriger wird es bei so genannten logischen Fehlern; die können von Scannern gar nicht erkannt werden. Beispiel: Vertrauliche Daten eines Nutzers werden per Identifier abgerufen, kommt kein Scanner auf die Idee, diesen Identifier zu verändern und zu prüfen, ob dadurch die Daten eines anderen Nutzers angezeigt werden. Entsprechend hat kein Scanner im Test eine solche Schwachstelle gefunden. Fazit der Tester: "Für komplexe Geschäftsanwendungen (wie z.B. Applikationen, die aus SAP Netweaver oder IBM WebSphere aufsetzen) sind Scanner daher aus unserer Sicht nicht geeignet."

Stellenmarkt
  1. Fresenius Medical Care Deutschland GmbH, Schweinfurt
  2. BIONORICA SE, Neumarkt / Oberpfalz

Scanner eignen sich daher gut, um die so genannten "Low Hanging Fruits" zu identifizieren und zu überprüfen, ob entsprechende Lücken geschlossen wurden. Der Aufwand dafür ist aber sehr hoch, da nur sehr gut konfigurierte Scanner brauchbare Ergebnisse liefern. Denn auch die Berichtfunktion mancher Scanner ist wenig hilfreich: Zwei der Scanner im Test dokumentierten die wenigen Schwachstellen, die sie gefunden hatten, auf 946 und 742 Seiten. Die müssen erst einmal durchgearbeitet werden.

Die Schlussfolgerung von Schumacher und seinem Kollegen Andreas Wiegenstein: "Um ein wirklich hohes Sicherheitsniveau zu erreichen, ist die Kreativität und das Know-how eines menschlichen Sicherheitstests unverzichtbar - nur so können logische Schwachstellen gefunden und die generellen Defizite eines Scanners ausgeglichen werden."

Was aber kann man tun, um sich gegenüber Risiken abzusichern, wenn man Software entwickeln lässt? Rupert Vogel von der Kanzlei Bartsch und Partner und Honorarprofessor für Informationstechnologierecht an der Universität Mannheim, rät zu einer möglichst genauen Leistungsbeschreibung. Das mag trivial klingen, ist in der Praxis aber alles andere als einfach zu erfüllen. Häufig sind Softwareprojekte so komplex, dass eine konkrete Beschreibung nicht von vornherein möglich ist. Darum sollte auf abstrakte Regeln verwiesen werden, etwa dass die Software dem "Stand der Technik" entsprechen sollte, der definiert ist als die Summe des gesicherten technischen Wissens, das den Fachleuten aktuell zur Verfügung steht, oder auf technische Normen von Standardisierungsgremien, etwa des DIN oder der ISO.

 Webapplikationen bergen neue RisikenWebapplikationen bergen neue Risiken 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Hardware-Angebote
  1. 164,90€
  2. mit Gutschein: HARDWARE50 (nur für Neukunden, Warenwert 104 - 1.000 Euro)

innovator 14. Mär 2007

vorträge sind halt so :) so kann jeder seine voträge halten über irgendein zeugs - und...

ale 14. Mär 2007

Ok stimmt natürlich schon. Man kann ja die sinnlosesten JUnit-Tests schreiben, die zwar...


Folgen Sie uns
       


Ubitricity ausprobiert

Das Berliner Unternehmen Ubitricity hat ein eichrechtskonformes System für das Laden von Elektroautos entwickelt. Das Konzept basiert darauf, dass nicht die Säule, sondern der Kunde selbst für die Stromzählung sorgt.

Ubitricity ausprobiert Video aufrufen
Razer Blade 15 im Test: Schlanker 15,6-Zöller für Gamer gefällt uns
Razer Blade 15 im Test
Schlanker 15,6-Zöller für Gamer gefällt uns

Das Razer Blade 15 ist ein gutes Spiele-Notebook mit flottem Display und schneller Geforce-Grafikeinheit. Anders als im 14-Zoll-Formfaktor ist bei den 15,6-Zoll-Modellen die Konkurrenz aber deutlich größer.
Ein Test von Marc Sauter

  1. Gaming-Notebook Razer packt Hexacore und Geforce GTX 1070 ins Blade 15
  2. Razer Blade 2017 im Test Das beste Gaming-Ultrabook nun mit 4K

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  2. Nasa 2020 soll ein Helikopter zum Mars fliegen
  3. Raumfahrt Nasa startet neue Beobachtungssonde Tess

Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

    •  /