17.11.2005, 20:32 Uhr
Einzelkämpfer für die Security
Wer Dotnet-Webapplikationen auf Sicherheit abklopfen will, kommt an Compuwares Devpartner Security Checker kaum vorbei.
Compuware Devpartner Securitychecker 1.0 überwacht ASP-Dotnet-Sites.
Tools, die Quellcode auf Sicherheitslöcher abtasten, sind je länger, desto mehr gefragt. Für Webapplikationen, die auf Microsofts Dotnet-Umgebung basieren, steht dennoch bisher nur ein Tool zur Wahl: Compuwares Devpartner Securitychecker 1.0. Es ist ein Plug-in für Visual Studio Dotnet 2003, der einzigen Version der Programmierumgebung (IDE), die es bisher unterstützt.
Das Tool überprüft grundsätzlich drei Sicherheitsbereiche. Erstens analysiert es den Quellcode, und zwar auf Basis von User-definierten Regeln. Über dreihundert Regeln stehen fixfertig zur Auswahl, sie beherrschen C#, Visual Basic Dotnet, ASP Dotnet sowie HTML. Ergebnis der Quellcodeprüfung ist eine Fehlerliste, die nach Typ oder Wichtigkeit der Fehler sortiert ist.
Die zweite Prüfung erfolgt während der Laufzeit. Dabei kontrolliert Securitychecker zum Beispiel die Prozessprioritäten, den Zugriff auf privilegierte Dateien, die korrekte Nutzung der System-Registry sowie ganz allgemein eventuelle operationelle Probleme.
Der dritte Prüfungsschritt ist eine Integritätsanalyse, bei der die Sicherheit der Applikation mittels automatischer Hacks auf Herz und Nieren geprüft wird. So werden etwa Puffer-Overflows und Cross-Site-Scripting-Angriffe simuliert.
Ein klarer Nachteil ist, dass das Tool keine Managementkonsole besitzt. Vom Tester verlangt dies ein manuelles Nachführen der Fehlerliste, doch die wenigsten IT-Spezialisten dürften diesen Aufwand treiben wollen. Ebenso bedauerlich ist, dass Securitychecker Fehlerreports in kein sinnvolles, extern weiterzuverarbeitendes Format exportiert. Beide Mankos reduzieren den Wert des ansonsten sehr nützlichen Tools, das mit 12 000 Dollar pro Seat sowieso nicht gerade billig ist
Das Tool überprüft grundsätzlich drei Sicherheitsbereiche. Erstens analysiert es den Quellcode, und zwar auf Basis von User-definierten Regeln. Über dreihundert Regeln stehen fixfertig zur Auswahl, sie beherrschen C#, Visual Basic Dotnet, ASP Dotnet sowie HTML. Ergebnis der Quellcodeprüfung ist eine Fehlerliste, die nach Typ oder Wichtigkeit der Fehler sortiert ist.
Die zweite Prüfung erfolgt während der Laufzeit. Dabei kontrolliert Securitychecker zum Beispiel die Prozessprioritäten, den Zugriff auf privilegierte Dateien, die korrekte Nutzung der System-Registry sowie ganz allgemein eventuelle operationelle Probleme.
Der dritte Prüfungsschritt ist eine Integritätsanalyse, bei der die Sicherheit der Applikation mittels automatischer Hacks auf Herz und Nieren geprüft wird. So werden etwa Puffer-Overflows und Cross-Site-Scripting-Angriffe simuliert.
Ein klarer Nachteil ist, dass das Tool keine Managementkonsole besitzt. Vom Tester verlangt dies ein manuelles Nachführen der Fehlerliste, doch die wenigsten IT-Spezialisten dürften diesen Aufwand treiben wollen. Ebenso bedauerlich ist, dass Securitychecker Fehlerreports in kein sinnvolles, extern weiterzuverarbeitendes Format exportiert. Beide Mankos reduzieren den Wert des ansonsten sehr nützlichen Tools, das mit 12 000 Dollar pro Seat sowieso nicht gerade billig ist
