Mit <kes>+ lesen

Sicherheitsscanner für Webanwendungen – ein Überblick

Mit Security- und Vulnerability-Scannern können Administratoren und Entwickler prüfen, ob selbstbetriebene Webanwendungen im lokalen Netzwerk oder in der Cloud von Cyberkriminellen durch das Ausnutzen von Sicherheitslücken angreifbar sind. Es gibt verschiedene Tools, die in Unternehmen jeder Größe sinnvoll eingesetzt werden können und die Schwachstellen schnell finden. So können Lücken geschlossen werden. In diesem Artikel stellen wir einige der bekanntesten Tools vor.

Lesezeit 4 Min.

Mehr Sicherheit mit dem Microsoft Security Response Center und der PowerShell

Microsoft bietet Unterstützung beim Suchen nach Schwachstellen und stellt über das Microsoft Security Response Center (MSRC) Informationen zu Sicherheitslücken für Windows und andere Microsoft-Produkte zur Verfügung. Die Informationen des MSRC sind über die PowerShell verfügbar. Hierfür ist das Modul „MSRCSecurityUpdates“ zuständig, das mit dem Befehl „Install-Module -Name MSRCSecurityUpdates -Force“ installiert werden kann.

Alle Befehle des Moduls sind wiederum mit „Get-Command -Module MSRCSecurityUpdates“ sichtbar. In der PowerShell ist es nach der Installation des Moduls möglich, die aktuelle Liste der Schwachstellen direkt von Microsoft herunterzuladen und in eine Tabelle zu integrieren:

Get-MsrcCvrfDocument -ID „2023-Jul“ -Verbose | Get-MsrcSecurityBulletinHtml -Verbose | Out-File „C:\Temp\cve-july.html“

Auf die gleiche Weise liest der PowerShell-Befehl andere Monate aus und erstellt mit dem Cmdlet „Get-MsrcCvrfDocument“ eine Tabelle mit den aktuellen Lücken.

Mit der PowerShell ist es möglich, aktuelle Schwachstellen aus Microsoft-Produkten zusammenzustellen. (Bild: Screenshot Thomas Joos)

Zur weiteren Verwendung können die Daten mit “ $cveinfo = Get-MsrcCvrfDocument -ID „2023-Jul“ in einer Variablen gespeichert und mit „Get-MsrcCvrfAffectedSoftware -Vulnerability $cveinfo.Vulnerability -ProductTree $cveinfo.ProductTree“ in der PowerShell nach Produkten sortiert ausgegeben werden. Auch das Auslesen spezifischer CVEs ist auf diese Weise möglich:

Get-MsrcSecurityUpdate -Vulnerability „CVE-2023-35361“

Mit dem Modul ist es also möglich, einen umfassenden Überblick und Informationen zu spezifischen CVEs zu erhalten. Dies hilft bei der Überprüfung, ob die notwendigen Updates auf den jeweiligen Rechnern installiert sind.

Schwachstellen-Scanner für Netzwerke: OpenVAS

Einer der bekanntesten Scanner ist OpenVAS (www.openvas.org). Einmal auf einem Computer installiert, kann OpenVAS mehrere oder alle Computer in einem Netzwerk nach Schwachstellen scannen. Durch die Angabe eines IP-Bereichs scannt OpenVAS alle Rechner in diesem Bereich. Dies kann zum Beispiel über die kostenlose Sicherheits-Linux-DVD Kali (https://www.kali.org) erfolgen. Nach dem Start führt OpenVAS Scans mit verschiedenen Angriffen durch und zeigt die Ergebnisse übersichtlich an.

Parallel zu OpenVAS ist das Sicherheitstool Lynis (https://github.com/CISOfy/lynis) interessant. Wie die beiden Tools im nächsten Abschnitt kann Lynis auch Container und deren Images auf Schwachstellen testen. Dies ist insbesondere in Umgebungen mit Webanwendungen interessant, da in diesem Kontext Container verwendet werden. Dazu zeigt Lynis nach dem Scanvorgang die gefundenen Schwachstellen an. Zusätzlich erkennt Lynis auch Fehlkonfigurationen in Linux und macOS, die ebenfalls zu Sicherheitslücken führen können.

Container auf Schwachstellen scannen: Anchor und Clair

Werden in der Umgebung Container eingesetzt, ist es natürlich sinnvoll, diese nach Schwachstellen zu untersuchen. Hierbei hilft das Open Source Tool Anchore (https://github.com/anchore/anchore-engine). Nach dem Start des Scanners durchsucht dieser die vorhandenen Container und die vorhandenen Images. So ist sichergestellt, dass neue Container keine Schwachstellen enthalten, da Anchore die Lücken bereits in den Images identifiziert hat.

Generell kann es nicht schaden, mehrere Scanner einzusetzen, welche die gleichen Bereiche untersuchen. Mit dem Open-Source-Tool Clair (https://github.com/quay/clair) ist es ebenfalls möglich, Container auf Schwachstellen zu untersuchen. Dabei kann Clair Container im laufenden Betrieb in Echtzeit überwachen. Dies macht den Einsatz parallel zu Anchore durchaus sinnvoll.

Burp-Suite gehört zu den bekanntesten Vulnerability-Scannern: Es gibt aber noch mehr

Neben OpenVAS ist die Burp-Suite eine Sammlung von Tools, die vor allem in Netzwerken nützlich sind, um Schwachstellen zu identifizieren. Während sich OpenVAS auf Betriebssysteme konzentriert, richtet sich Burp Suite direkt an Webanwendungen. Wie OpenVAS ist auch Burp Suite über die Kali-Distribution erhältlich (www.kali.org/tools/burpsuite/). Der Schwachstellen-Scanner ist dabei in der Lage, Angriffe wie SQL-Injection und Cross-Site-Scripting (XSS) durchzuführen. Damit ist es möglich, unbekannte Sicherheitslücken in Webanwendungen zu identifizieren.

Wer Kali bereits wegen OpenVAS und der Burp Suite im Einsatz hat, kann sich Legion anschauen. Dieses Tool ist parallel zu Kali verfügbar. Es arbeitet mit Nmap (ebenfalls in Kali verfügbar) zusammen, um Geräte im Netzwerk nach Schwachstellen zu durchsuchen. Legion ermöglicht es, modulare Skripte zu erstellen, um Schwachstellen in Netzwerken zu finden.

Datenbanken für Webanwendungen absichern: sqlmap

Datenbanken sind besonders häufig das Ziel von Cyberkriminellen, vor allem im Zusammenhang mit Webanwendungen. Denn in diesem Fall können Datenbanken über das Internet erreicht werden, zumindest indirekt über die Schnittstellen der Webanwendungen. Der Security-Scanner sqlmap (https://sqlmap.org) scannt Datenbanken auf Schwachstellen, zum Beispiel durch SQL-Injection. Dabei ist es möglich, die Scanvorgänge zu automatisieren und so permanent nach Lücken zu suchen.

OWASP Zed Attack Proxy ist der Alleskönner unter den Sicherheitsscannern

OWASP Zed Attack Proxy ist neben OpenVAS eines der bekanntesten Werkzeuge, um Webanwendungen auf Schwachstellen zu untersuchen. Dies geschieht einfach über eine grafische Oberfläche, die das Testen komplexer Scan-Szenarien unterstützt. Dazu kann ZAP eine Vielzahl unterschiedlicher Scans durchführen und Angriffe simulieren. ZAP ist in der Lage, Man-in-the-Middle-Attacken durchzuführen, was ein besonders häufiger Angriff auf Webanwendungen ist.

Metasploit Framework – Sicherheitslücken schnell erkennen

Das Metasploit Framework (www.metasploit.com) ist eine Sammlung von Werkzeugen, mit denen sich komplexe Angriffsszenarien, auch Man-in-the-Middle-Angriffe, in der grafischen Oberfläche und im Terminal realisieren lassen. Für die Identifizierung von Schwachstellen ist Metasploit nahezu unverzichtbar.

 

Thomas Joos ist freier Journalist.