Der 2018 Data Breach Investigations Report (PDF) des US-Telekommunikationsanbieters Verizon besagt, die häufigste Angriffsmethode hinter Datenlecks seien Hacks über Web-Anwendungen. Daher wird es für Unternehmen wichtiger, ihre Anwendungen zu testen und abzusichern. Wir stellen einige der beliebtesten, aktuell verfügbaren Tools für Anwendungssicherheit vor und beschreiben, in welchen Szenarien sie am effektivsten sind.
Foto: whiteMocca - shutterstock.com
Die Informationen der Liste stammen aus verschiedenen Quellen, darunter:
Market Guide for Application Shielding (Juni 2017) von Gartner
Magic Quadrant for Application Security Testing (März 2018) von Gartner
Liste von Testing-Tools für Anwendungen von IT Central Station (ITCS) (Stand: September 2018)
SecTools Top-125 Netzwerk-Security-ToolsSecTools Top-125 Netzwerk-Security-Tools (laufend aktualisiert)
Es sind sowohl kostenlose als auch kommerzielle Produkte enthalten. Die Hersteller der kommerziellen Tools nennen sehr selten Listenpreise. Die Werkzeuge sind oft in Verbindung mit anderen Tools des Anbieters erhältlich mit Mengen- oder Laufzeit-Rabatten bezüglich der Lizenzkosten. Einige der kostenfreien Tools werden auch als bezahlte Varianten angeboten, die mehr Funktionalität bieten.
Die 13 besten Tools für Anwendungssicherheit
In alphabetischer Reihenfolge:
Arxan Application Protection
Das lässt sich für Runtime Applications Self Protection (RASP) verwenden. Diese Art Software agiert, während eine Anwendung oder Laufzeitumgebung ausgeführt wird. Sie gewährt Einblicke in die Vorgänge innerhalb der App und kann so ihr Verhalten und den Kontext auf verdächtige Aktivitäten hin analysieren. Arxan Application Protection soll gegen Reverse Engineering sowie Code-Manipulation schützen und vor allem im Bereich mobiler Apps nützlich sein.
Zielgruppe: Erfahrene Entwickler
Fokus: RASP
Auslieferung: Mac, Windows, Android, iOS, Linux
Preis: Hersteller kontaktieren
Black Duck von Synopsys
Black Duck automatisiert Open-Source-Sicherheit und die Einhaltung von Lizenzen während der Anwendungsentwicklung. Mit dem Tool lässt sich das gesamte Portfolio an Open-Source-Anwendungen, überwachen, absichern und verwalten. Synopsys hat zudem noch weitere Anbieter für Anwendungssicherheit aufgekauft, darunter Coverity und Codenomicon.
Leader im Gartner Magic Quadrant
Zielgruppe: Open-Source-Entwickler
Fokus: Testing von Open-Source-Anwendungen
Auslieferung: SaaS
Preis: Live Demo, Hersteller kontaktieren
Burp Suite von PortSwigger
Burp Suite ist eine der bekannteren Tool-Suiten für Penetrationstests. Sie wurde in den letzten Jahren großflächig erweitert und verbessert. Alle enthaltenen Werkzeuge teilen sich ein gemeinsames Framework, um HTTP-Nachrichten, Persistenz, Authentifizierung, Proxies, Logging sowie Alarme darzustellen und zu verwalten. Die kostenpflichtigen Versionen beinhalten zusätzliche automatisierte und händische Test-Tools. Sie lassen sich mit verschiedenen anderen Frameworks wie beispielsweise Jenkins und mit einer gut dokumentierten REST-Programmierschnittstelle integrieren.
ITCS Rang 7
Zielgruppe: Erfahrene Entwickler
Fokus: Penetrationstests und Schwachstellen-Scan von Web-Anwendungen
Auslieferung: Mac, Windows, Linux, JAR
Preis: Kostenlos bis 4.000 US-Dollar/Jahr, 60-tägige kostenlose Probephase
CA/Veracode App Security Platform
Veracode bietet, in einer zentralen Plattform gehostet, zahlreiche Techniken für Sicherheitstests und Bedrohungsabwehr. Es wird verwendet, um sowohl während der Entwicklung als auch im produktiven Einsatz Schwachstellen zu finden und Risiken zu bewerten. Nutzer betonen häufig die einfache Bedienung des Tools, unabhängig von der Größe der getesteten Installationen.
ITCS Rang 1, Leader im Gartner Magic Quadrant
Zielgruppe: Entwickler
Fokus: Statisches und dynamisches Scannen von Code
Auslieferung: SaaS
Preis: Hersteller kontaktieren
Checkmarx
Checkmarx stellt eine Reihe von Tools zum Testen von Anwendungen bereit. Darunter fallen Werkzeuge zum statischen und dynamischen Scannen von Code und für die Analyse der Open-Source-Komponenten. Die Tools suchen die Anwendungen durchgehend nach Schwachstellen ab und unterstützen zahlreiche Programmiersprachen. Checkmarx akquirierte 2017 eine Traningsplattform und integrierte sie in seine Software, um deren Funktionen hinsichtlich Schulungen für sicheres Programmieren zu erweitern.
ITCS Rang 2, Leader im Gartner Magic Quadrant
Zielgruppe: Entwickler
Fokus: Statisches und dynamisches Scannen von Code, Training für sicheres Programmieren
Auslieferung: SaaS und On-premise
Preis: Hersteller kontaktieren, kostenlose Demo
Fortify von Micro Focus
Fortify kam durch die Fusion mit der Softwaresparte von HPE in das Portfolio von Micro Focus. Die integrierten Entwicklungs- und Testing-Tools sind als SaaS-, On-premise- und Mobile-Versionen verfügbar. Sie dienen zur kontinuierlichen Anwendungsüberwachung. Fortify kann zudem mit den Entwicklungsumgebungen Eclipse IDE und Visual Studio integriert werden.
ITCS Rang 3, Leader im Gartner Magic Quadrant
Zielgruppe: Entwickler
Fokus: Statisches und dynamisches Scannen von Code
Auslieferung: SaaS- und On-premise-Versionen
Preis: Hersteller kontaktieren, 15-tägige kostenlose Probephase
IBM Security AppScan
Security AppScan ist Teil des umfangreichen Portfolios für Anwendungssicherheit von IBM. Big Blue bietet es in drei verschiedenen Versionen an: Source, Standard und Enterprise. Source sucht Quellcode nach Schwachstellen ab. Standard bietet IT-Sicherheits-Teams, Auditoren und Penetrationstestern eine automatisierte Testumgebung für Anwendungssicherheit. Enterprise ist eine Client-Server-Version, mit der die Sicherheitstest skaliert werden können. Zudem gibt es mobile Varianten, um iOS- und Android-Anwendungen zu überprüfen. Die Software ist in der Lage, verschiedene Dateiformate aus manuellen Code-Reviews, Penetrationstests und sogar Schwachstellen-Scannern von Wettbewerbern zu importieren.
ITCS Rang 4, Leader im Gartner Magic Quadrant
Zielgruppe: Große Unternehmen
Fokus: Scannen von Anwendungscode inklusive mobiler, statischer und dynamischer Methoden
Auslieferung: SaaS und On-premise
Preis: Hersteller kontaktieren, 30-tägige kostenlose Probephase
Klocwork von Rogue Wave
Klocwork bietet unter anderem Features für statische Anwendungs-Scans, kontinuierliche Code-Integration und ein Tool zur Visualisierung der Code-Architektur. Es besitzt eingebaute Prüfwerkzeuge für verschiedene Sicherheitsstandards wie CERT, CWE und OWASP. Code-Injektionen, Cross-Site-Scripting (XSS), Memory-Leaks und andere schädliche Codierungs-Verfahren werden von ihm aufgespürt.
ITCS Rang 9
Zielgruppe: Entwickler
Fokus: Statische Code-Analyse
Auslieferung: SaaS
Preis: kostenlose Probephase
Qualys Web App Scanning
Qualys Web App Scanning findet und katalogisiert alle Web-Anwendungen im gesamten Unternehmen. Es führt dynamische Scans durch, alarmiert über Malware-Infektionen und schlägt Korrekturmaßnahmen für den Code vor. Das Produkt ist Teil des größeren Cloud-Apps-Portfolios, das neben Scans auch Security-Tools für Infrastrukturen und Endpunkte beinhaltet. Es gibt zudem einen großflächigen Support für andere Web-Application-Firewalls. Kostenlose, im Funktionsumfang reduzierte Versionen dieser Services sind erhältlich, ebenso zahlreiche Gratis-Tools, um SSL-Webseiten, Zertifikate und Browserkonfigurationen zu prüfen.
ITCS Rang 8
Zielgruppe: Web-Anwendungsentwickler
Fokus: Dynamisches Scannen von Anwendungen
Auslieferung: SaaS
Preis: Diverse Abonnements und Nutzungsgebühren-Modelle, 30-tägige kostenlose Probephase
Prevoty von Imperva
Prevoty ist ein weiteres Tool, das für RASP verwendet werden kann und vor allem bezüglich mobilen Anwendungen gegen Reverse Engineering und Code-Manipulation schützt.
Zielgruppe: Entwickler
Fokus: RASP
Auslieferung: SaaS
Preis: Hersteller kontaktieren
Selenium
Selenium verfügt über eine Tool-Suite, mit der sich Web-Anwendungen mit ihrer Funktionsweise in einer Vielzahl verschiedener Browser-Versionen automatisiert testen lassen. Sie laufen mit der eigenen integrierten Entwicklungsumgebung für Selenium-Skripte, die als Browser-Erweiterung implementiert wird. Die Suite erlaubt es, Tests aufzunehmen, zu bearbeiten und auf Fehler zu untersuchen sowie ihre Skripte aufzunehmen und wiederzugeben. Selenium bietet breiten Drittanbieter-Support für diverse Plug-ins, die Sicherheitsprobleme in mobilen und speziellen Web-Browsern erkennen.
Zielgruppe: Anwendungsentwickler
Fokus: Tests von Web-Anwendungen
Auslieferung: Benötigt einen eigenen Server und unterstützt zahlreiche Programmiersprachen, darunter C#, Ruby und Python
Preis: Kostenlos
WebGoat von OWASP
WebGoat ist eine bewusst unsichere Web-Anwendung. Sie wurde vom Open Web Applications Security Project (OWASP) entwickelt, das eine Liste der kritischsten Web-Schwachstellen vorhält. Die Anwendung ist als Lehrmaterial gedacht, um die Auswirkungen der gängigsten Exploits zu demonstrieren und aufzuzeigen, wie sie in den eigenen Anwendungen zu vermeiden sind. WebGoat bietet viele Programmierbeispiele und andere Tipps. Die Software existiert seit 15 Jahren und befindet sich momentan in der achten Version.
Zielgruppe: Entwickler
Fokus: Tests unter anderem für Code-Injection, XSS und unsichere Zugangsdaten
Auslieferung: JAR-Datei
Preis: Kostenlos
Zed Attack Proxy (ZAP) von OWASP
Zed Attack kommt ebenfalls vom OWASP. Aus der Zusammenarbeit mit einer großen Open-Source-Community entstanden, hilft das Tool dabei, Sicherheitsschwachstellen in Web-Anwendungen zu finden, während sie programmiert werden. Zed Attack schaltet sich zwischen die Anwendung und den Browser, fängt Web-Traffic auf und untersucht ihn auf Anfälligkeiten.
ITCS Rang 6
Zielgruppe: Entwickler, besonders Anfänger
Fokus: nur Web-Anwendungen
Auslieferung: Anwendungen verfügbar für Windows, Linux, Mac und Docker, benötigt Java 7+
Preis: Kostenlos