Abo
  • Services:
Anzeige

Webapplikationen bergen neue Risiken

Noch schwieriger wird es bei so genannten logischen Fehlern; die können von Scannern gar nicht erkannt werden. Beispiel: Vertrauliche Daten eines Nutzers werden per Identifier abgerufen, kommt kein Scanner auf die Idee, diesen Identifier zu verändern und zu prüfen, ob dadurch die Daten eines anderen Nutzers angezeigt werden. Entsprechend hat kein Scanner im Test eine solche Schwachstelle gefunden. Fazit der Tester: "Für komplexe Geschäftsanwendungen (wie z.B. Applikationen, die aus SAP Netweaver oder IBM WebSphere aufsetzen) sind Scanner daher aus unserer Sicht nicht geeignet."

Anzeige

Scanner eignen sich daher gut, um die so genannten "Low Hanging Fruits" zu identifizieren und zu überprüfen, ob entsprechende Lücken geschlossen wurden. Der Aufwand dafür ist aber sehr hoch, da nur sehr gut konfigurierte Scanner brauchbare Ergebnisse liefern. Denn auch die Berichtfunktion mancher Scanner ist wenig hilfreich: Zwei der Scanner im Test dokumentierten die wenigen Schwachstellen, die sie gefunden hatten, auf 946 und 742 Seiten. Die müssen erst einmal durchgearbeitet werden.

Die Schlussfolgerung von Schumacher und seinem Kollegen Andreas Wiegenstein: "Um ein wirklich hohes Sicherheitsniveau zu erreichen, ist die Kreativität und das Know-how eines menschlichen Sicherheitstests unverzichtbar - nur so können logische Schwachstellen gefunden und die generellen Defizite eines Scanners ausgeglichen werden."

Was aber kann man tun, um sich gegenüber Risiken abzusichern, wenn man Software entwickeln lässt? Rupert Vogel von der Kanzlei Bartsch und Partner und Honorarprofessor für Informationstechnologierecht an der Universität Mannheim, rät zu einer möglichst genauen Leistungsbeschreibung. Das mag trivial klingen, ist in der Praxis aber alles andere als einfach zu erfüllen. Häufig sind Softwareprojekte so komplex, dass eine konkrete Beschreibung nicht von vornherein möglich ist. Darum sollte auf abstrakte Regeln verwiesen werden, etwa dass die Software dem "Stand der Technik" entsprechen sollte, der definiert ist als die Summe des gesicherten technischen Wissens, das den Fachleuten aktuell zur Verfügung steht, oder auf technische Normen von Standardisierungsgremien, etwa des DIN oder der ISO.

 Webapplikationen bergen neue RisikenWebapplikationen bergen neue Risiken 

eye home zur Startseite
innovator 14. Mär 2007

vorträge sind halt so :) so kann jeder seine voträge halten über irgendein zeugs - und...

ale 14. Mär 2007

Ok stimmt natürlich schon. Man kann ja die sinnlosesten JUnit-Tests schreiben, die zwar...



Anzeige

Stellenmarkt
  1. SSI Schäfer Automation GmbH, Giebelstadt bei Würzburg
  2. Transgourmet Deutschland GmbH & Co. OHG, Mainz, Riedstadt
  3. Aarsleff Rohrsanierung GmbH, Röthenbach a.d. Pegnitz (Metropolregion Nürnberg)
  4. Bundeskriminalamt, Wiesbaden


Anzeige
Spiele-Angebote
  1. 9,99€
  2. mit Gutscheincode PCGAMES17 nur 49,79€ statt 53,99€
  3. (-73%) 10,99€

Folgen Sie uns
       


  1. Spieleklassiker

    Mafia digital bei GoG erhältlich

  2. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  3. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  4. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  5. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  6. Die Woche im Video

    Wegen Krack wie auf Crack!

  7. Windows 10

    Fall Creators Update macht Ryzen schneller

  8. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  9. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  10. Jaxa

    Japanische Forscher finden riesige Höhle im Mond



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

Xperia Touch im Test: Sonys coolem Android-Projektor fehlt das Killerfeature
Xperia Touch im Test
Sonys coolem Android-Projektor fehlt das Killerfeature
  1. Roboter Sony lässt Aibo als Alexa-Konkurrenten wieder auferstehen
  2. Sony Xperia XZ1 Compact im Test Alternativlos für Freunde kleiner Smartphones
  3. Sony Xperia XZ1 und XZ1 Compact sind erhältlich

  1. Re: Bahn schneller machen

    qwertz347 | 10:06

  2. Re: Harte Realität:

    Bouncy | 10:06

  3. Ich wäre ja mal froh wenn Golem sein "Sichtfeld...

    derdiedas | 10:05

  4. Re: 90 Minuten "Film" passt dann gerade mal auf...

    Ovaron | 10:02

  5. Re: Das ist eh die Zukunft.

    violator | 09:47


  1. 17:14

  2. 16:25

  3. 15:34

  4. 13:05

  5. 11:59

  6. 09:03

  7. 22:38

  8. 18:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel