Open-Source-Werkzeuge fürs automatisierte Pentesting

Insbesondere bei agilen DevOps-Projekten stellen die notwendigen Sicherheitstests Web-Entwickler vor Herausforderungen: Hier ist es besonders schwer, jedes Release vor dem Rollout gründlich zu überprüfen. In diesem Fall bieten sich Open-Source-Werkzeuge an, die sich in die automatisierte Build-Pipeline integrieren lassen. Welche es gibt und wofür sie sich eignen, zeigt ein Pentesting-Artikel in der aktuellen iX 7/2019.

Grob lässt sich die Software in die drei Kategorien DAST, SAST und IAST unterteilen. Beim Dynamic Application Security Testing soll das Werkzeug die Anwendung wie ein Angreifer von außen unter die Lupe nehmen, indem es alle erkannten Parameter mit unterschiedlichen Angriffsmustern attackiert. Diese Tests bieten sich vor allem dann an, wenn die Software bereits einen lauffähigen Stand erreicht hat.

Das Static Application Security Testing scannt hingegen den Quelltext selbst. Teils weisen die Werkzeuge bloß auf mögliche Schwachstellen hin, andere können jedoch auch beschreiben, wie sie sich ausnutzen lassen könnten. Im Gegensatz zum DAST lässt sich das SAST auch schon früh im Entwicklungsprozess verwenden.

Beim Interactive Application Se­curity Testing beobachtet ein Werkzeug den tatsächlichen Datenfluss der Web-Anwendung zur Laufzeit. Dies lässt sich gut mit anderen automatisierten Tests kombinieren. Jedoch gibt es IAST-Tools bislang vor allem von kommerziellen Anbietern – Open-Source-Software ist in erster Linie im DAST- und SAST-Bereich vertreten.

Siehe dazu auch:

• Pentesting: Web-Security-Tests mit Open-Source-Werkzeugen, iX 7/2019, S. 46

(fo)