Thema der Woche

13. Juli 2005

Web-Service-Pentest-Tool

Die McAfee-Tochter [externer Link] Foundstone Professional Services stellt im Rahmen seiner Strategic Secure Software Initiative (S3i) mit [externer Link] WSDigger 1.0 ein Open-Source-Werkzeug bereit, das bei der Identifizierung von Schwachstellen in Web-Service-Implementierungen helfen soll. Das Windows-Tool arbeitet als automatisiertes, interaktives Penetration-Test-System nach dem Black-Box-Ansatz, bei dem der "Angreifer" keine besonderen Kenntnisse über sein (Prüf-)Ziel hat. Das Werkzeug operiert laut Anbieter dabei als Web-Service-Client, der selbst festlegt, wie er mit dem Web-Dienst interagieren möchte und den Nutzer auffordert, Entscheidungen zu fällen. Die Vorgehensweise des Tools lasse sich in vier Schritten beschreiben: Diensteerkennung, Ermittlung eines Angriffsvektors, Exploit-Tests und Analyse.

Da das Tool als Open-Source vorliegt und erweiterbar ist, nennt Foundstone es auch "Test-Framework": Anwender sollen eigene Plug-ins entwickeln und der Community bereitstellen können. Die erste Version umfasst Beispiel-Plug-ins für SQL-Injection, Cross-Site-Scripting und X-PATH-Injection-Attacken. Das Download-Paket enthält außerdem zum Ausprobieren einen Beispiel-Web-Service für den Internet Information Server (IIS), der gegenüber XPATH-Injection verwundbar ist. Neben WSDigger stehen zahlreiche weitere [externer Link] kostenlose Sicherheits-Tools im Internetangebot von Foundstone bereit.

zum nächsten Thema der Woche

zum vorigen Thema der Woche

Valid HTML 4.01! | Valid CSS!

Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per  E-Mail. Vielen Dank.