Schwachstellenanalysen und Penetrationstests sind wesentliche Bestandteile von Sicherheitstests für Applikationen. Dazu müssen Unternehmen öffentlich und privat zugängliche Websites, entscheidende Applikationen und Endpunkte mit Hilfe von Scanning-Tools überprüfen, um finanzielle, persönliche, vertrauliche und sensible Daten zu schützen. Ziel solcher Tests ist es, Schwachstellen wie Verschlüsselungsprobleme, Fehlkonfigurationen, unzureichende Patches und Applikationsschwachstellen wie SQL-Injection, Cross-Site Scripting sowie die 10 wichtigsten OWASP-Schwachstellen zu identifizieren, die private Daten kompromittieren könnten.
Diese Scanning Engines gehen gegen eine bekannte Liste gängiger Möglichkeiten zur Ausnutzung von Schwachstellen vor, wie von OWASP und anderen definiert. Die von OWASP definierten Ausnutzungen von Schwachstellen (z. B. die 10 wichtigsten von OWASP definierten Schwachstellen) nutzen verschiedene Techniken wie SQL-Injection, Cross-Site Scripting (XSS), Man-in-the-Middle (MITM)-Angriffe und die Einschleusung von Malware, um verwundbare Web-Applikationen und Websites zu hacken und Daten zu extrahieren, Benutzer oder Systeme zur Weitergabe sensibler Informationen zu veranlassen oder die Applikationleistung zu beeinträchtigen.
Scanning-Tools geben eine Liste gefährdeter URLs aus, die dann in der Entwicklung gepatcht oder in WAF und WAAP-Geräte importiert werden können, um Schutz vor Hacking-Versuchen zu bieten. Die Web Application Firewall (WAF) von Radware bot die erste Patching-Sicherheitslösung in Echtzeit für Web-Applikationen in Umgebungen mit kontinuierlicher Anwendungsbereitstellung durch eine enge Integration mit Lösungen für Dynamic Application Security Testing (DAST). Die Integration zwischen DAST-Lösungen und der WAF/WAAP von Radware ermöglicht die Automatisierung und Beschleunigung beim virtuellen Patching von Web-Applikationen gegen bekannte Applikationsschwachstellen.
Tools zum Scannen von Schwachstellen sind kostenintensiv, und eine gründliche Prüfung setzt Kompetenz in Sicherheitsfragen voraus. Die WAF von Radware beinhaltet Scanning Engine zur automatischen Erstellung der Sicherheitsrichtlinie zum Schutz der Web-Applikationen. Die automatische Erstellung von Richtlinien ist Teil des Radware-Angebots und verwendet die benötigten Sicherheitsfilter automatisch, erstellt entsprechende Filterregeln und schaltet die Sicherheitsfilter aktiv. Die WAF von Radware nutzt die integrierte automatische Erstellung von Richtlinien, die Unterstützung von Scanning Engines für Schwachstellen und DAST-Tools, API-Erkennung sowie negative und positive Sicherheitsmodelle, um API und Applikationen in Unternehmen zu sichern.
Application Vulnerability Analyzer – Funktionalität und Vergleich
| |
Radware |
CDN-gestützte WAF |
Native WAF für die Public Cloud |
Softwarebasierte WAAP |
| Negatives Sicherheitsmodell und Integration mit Scanning-Tools |
Ja |
Ja |
Ja |
Ja |
| Integration mit DAST |
Ja |
Nein |
Nein |
Ja |
| Positives Sicherheitsmodell |
Ja |
Nein |
Nein |
Ja |
| Scannen auf Schwachstellen und automatische Erstellung von Richtlinien |
Ja |
Nein |
Nein |
Nein |
| API-Erkennung |
Ja |
Nein |
Nein |
Möglicherweise |
Weitere Ressourcen