21.03.2010 15:02
Web-Security-Scanner von Google
Skipfish läuft unter Linux/Unix von der Kommandozeile. Mit einem Upstream von 256 KBit/s kommt der Web-Security-Scanner auf durchschnittlich 40 Abfragen pro Sekunde.
Google hat einen frei erhältlichen Scanner veröffentlicht, mit dessen Hilfe sich Web-Applikationen auf Sicherheitslücken testen lassen. Die Skipfish genannte Anwendung funktioniert in etwa so wie Nmap, Nessus & Co., soll aber viel schneller zur Sache gehen. Mit heuristischen Methoden erkennt sie vollautomatisch Anfälligkeiten für Cross-Site-Scripting-Attacken, für SQL- und XML-Injection-Angriffe sowie vieles mehr. Eine umfassende Nachbearbeitung der Ergebnisse der Einzelprüfungen soll das Zurechtfinden im abschließenden Bericht vereinfachen.
Skipfish ist in reinem C geschrieben und kann nach Angaben von Google locker 2000 HTTP-Anfragen pro Sekunde absetzen – vorausgesetzt der getestete Server verkraftet eine derart hohe Last. In Versuchen in lokalen Netzwerken sollen schon 7000 und mehr Anfragen pro Sekunde abgesendet worden sein, bei moderater CPU-Last und geringem Speicherverbrauch.
Google erreicht die hohe Performance mit einem seriellen I/O-Modell, das Antworten asynchron verarbeitet und wesentlich besser skalieren soll als klassische Ansätze mit mehreren Threads, die Anfragen synchron behandeln. Ein optimiertes Handling von HTTP-Verbindungen mit HTTP-1.1-Range-Requests, Keep-alive-Verbindungen und Datenkompression soll die von Skipfish beanspruchte Netzbandbreite im Rahmen halten.
Nach eigenen Angaben nutzt Google den Scanner selbst, um eigene Web-Applikationen auf unsichere Schnittstellen zu überprüfen. Google weist allerdings auch darauf hin, dass die Sicherheitsprüfungen alles andere als vollständig sind und etwa nicht den WASC-Kriterien (Web Application Security Scanner Evaluation Criteria ) entsprechen.
Siehe dazu auch:
- Skipfish im heise Software-Verzeichnis
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
