Web-Security-Scanner von Google

21.03.2010 15:02 Uhr Oliver Lau

Google hat eine kostenlose Software veröffentlicht, mit der sich Web-Server auf Sicherheitslücken testen lassen.

Skipfish-Screenshot — Skipfish läuft unter Linux/Unix von der Kommandozeile. Mit einem Upstream von 256 KBit/s kommt der Web-Security-Scanner auf durchschnittlich 40 Abfragen pro Sekunde.

Google hat einen frei erhältlichen Scanner veröffentlicht, mit dessen Hilfe sich Web-Applikationen auf Sicherheitslücken testen lassen. Die Skipfish [1] genannte Anwendung funktioniert in etwa so wie Nmap [2], Nessus [3] & Co., soll aber viel schneller zur Sache gehen. Mit heuristischen Methoden erkennt sie vollautomatisch Anfälligkeiten für Cross-Site-Scripting-Attacken, für SQL- und XML-Injection-Angriffe sowie vieles mehr. Eine umfassende Nachbearbeitung der Ergebnisse der Einzelprüfungen soll das Zurechtfinden im abschließenden Bericht vereinfachen.

Skipfish ist in reinem C geschrieben und kann nach Angaben von Google locker 2000 HTTP-Anfragen pro Sekunde absetzen – vorausgesetzt der getestete Server verkraftet eine derart hohe Last. In Versuchen in lokalen Netzwerken sollen schon 7000 und mehr Anfragen pro Sekunde abgesendet worden [4] sein, bei moderater CPU-Last und geringem Speicherverbrauch.

Google erreicht die hohe Performance mit einem seriellen I/O-Modell, das Antworten asynchron verarbeitet und wesentlich besser skalieren soll als klassische Ansätze mit mehreren Threads, die Anfragen synchron behandeln. Ein optimiertes Handling von HTTP-Verbindungen mit HTTP-1.1-Range-Requests [5], Keep-alive-Verbindungen und Datenkompression soll die von Skipfish beanspruchte Netzbandbreite im Rahmen halten.

Nach eigenen Angaben [6] nutzt Google den Scanner selbst, um eigene Web-Applikationen auf unsichere Schnittstellen zu überprüfen. Google weist allerdings auch darauf hin, dass die Sicherheitsprüfungen alles andere als vollständig sind und etwa nicht den WASC-Kriterien (Web Application Security Scanner Evaluation Criteria [7] ) entsprechen.

Siehe dazu auch:

Skipfish [8] im heise Software-Verzeichnis

(ola [9])

URL dieses Artikels:
https://www.heise.de/-959931

Links in diesem Artikel:
[1] http://code.google.com/p/skipfish/
[2] https://www.heise.de/news/Nmap-5-20-erschienen-910194.html
[3] https://www.heise.de/news/Schwachstellenscanner-Nessus-in-Version-4-2-erschienen-874849.html
[4] http://code.google.com/p/skipfish/wiki/SkipfishDoc
[5] http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html
[6] http://googleonlinesecurity.blogspot.com/2010/03/meet-skipfish-our-automated-web.html
[7] http://projects.webappsec.org/Web-Application-Security-Scanner-Evaluation-Criteria
[8] http://www.heise.de/software/download/skipfish/72377
[9] mailto:ola@ct.de