Thema der Woche

11. Mai 2007

Black-Box-Tests für Applikationen unzureichend?!

Vor blindem Vertrauen in Black-Box-Penetrationstests von Applikationen warnt [externer Link] Fortify Software. Derartige Prüfungen erfassen nach Erkenntnissen des Unternehmens nur Teile des Quellcodes und decken viele mögliche Schwachstellen nicht auf. Fortify's Report "Misplaced Confidence in Application Penetration Testing" konstatiert daher, dass Penetrationstests für Applikationen oft einen ungerechtfertigten Vertrauensvorschuss genießen.

Für den Report waren zunächst Entwickler befragt worden, die Sicherheitstests durchführen, anschließend erfolgte eine Untersuchung der genutzten Tools. Im Ergebnis zeige sich, dass Tester die Effektivität der Prüfungen schlecht einschätzen konnten und automatisierte Penetrationstests im Schnitt nur 25 % aller Programmierschnittstellen einer Applikation checken. Das unterschreite deutlich die hohen Erwartungen, die an die Tests gestellt würden. Zudem würden einige kritische Schwachstellen durch automatisierte Blackbox-Tests nicht erkannt. Der [externer Link] Report ist nach Registrierung von Fortify's Website erhältlich.

Jacob West, Manager der Security Research Group von Fortify kommentiert: "Viele Tester sind irrtümlich der Ansicht, dass Black-Box-Tests – unabhängig davon, ob sie automatisiert oder manuell durchgeführt werden – Applikationen wirklich umfassend auf Sicherheitslücken kontrollieren. In dieser wichtigen Phase der Applikationsentwicklung ist es aber äußerst wichtig, wirklich alle Codesegmente der Anwendung zu überprüfen."

Black-Box-Tests, die ohne Kenntnisse zur Funktionsweise des überprüften Systems ablaufen, verwenden zur Schwachstellenanalyse unterschiedliche Eingabedaten, um Applikationen während der Laufzeit zu untersuchen und Attacken zu simulieren. Für ihren Report hat Fortify automatisierte und manuelle Penetrationstests (nach Firmenangaben inkl. zwei der drei marktführenden Tools) mit fünf verbreiteten Testapplikationen durchgeführt. Auch zusätzliche manuelle Tests hätten das Ergebnis zwar verbessert, aber im Durchschnitt auch nur weitere 19 % des Codes einbezogen, sodass alles in allem lediglich knapp die Hälfte der Applikation überprüft worden sei. Bei weiteren Untersuchungen mit eigenen Verfahren habe Fortify festgestellt, dass bei den Black-Box-Tests auch tatsächlich Sicherheitslücken übersehen wurden, besonders SQL-Injection- und Cross-Site-Scripting-Schwachstellen seien hierfür prädestiniert. Andere mögliche Angriffsziele, etwa durch den Zugriff auf sensitive Daten in Log-Files, seien durch die Black-Box-Tests überhaupt nicht erfasst worden.

zum nächsten Thema der Woche

zum vorigen Thema der Woche

Valid HTML 4.01! | Valid CSS!

Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per  E-Mail. Vielen Dank.