JavaScript-Schwachstellen aufspüren

Das Münchner Unternehmen Crashtest Security bietet jetzt einen JavaScript-Scanner für Webanwendungen an. Für den Test genügt die Eingabe der Domain, wie bei den bisherigen Sicherheitstests des Unternehmens. Der Scanner identifiziert JavaScript-Angriffsvektoren automatisiert im Frontend, im Backend und in der Kommunikation zwischen beiden. Bisher würden derlei Tests häufig manuelle Anpassungen an den Sicherheitswerkzeugen erfordern, so Crashtest Security.

Viele moderne Anwendungen würden JavaScript verwenden, um Inhalte dynamisch aus dem Backend zu laden, jeweils basierend auf dem Verhalten des Benutzers oder anderen Ereignissen. Aufgrund der Änderungen des Inhalts und der Angriffsvektoren sei das automatische Testen von dynamischen Webanwendungen eine Herausforderung.

Die automatische Erkennung von Angriffsvektoren könne bei jedem Scan automatisch ausgeführt werden, um die Logik auf Grundlage der jeweils eingesetzten Version anzupassen. Damit eigne sich die Lösung insbesondere für den Einsatz in der agilen Softwareentwicklung. Der Crashtest Security Scanner lässt sich in bestehende Systeme wie Jenkins oder GitLab integrieren. Durch den automatisierten Sicherheitsscans hätten CISOs jederzeit den Überblick über den momentanen Sicherheitsstatus der eigenen webbasierten Projekte. Die Lösung liefert detaillierte Sicherheitsberichte, dazu gehören auch Anleitungen zur Behebung von gefundenen Schwachstellen.

Der Crashtest Security Scanner ist in drei vordefinierten Ausbaustufen erhältlich: Starter, Advanced und Professional. Die Preise beginnen bei 35 Euro pro Monat. Der neue JavaScript-Scanner ist Bestandteil des Advanced-Pakets, das bei 69 Euro pro Monat beginnt. Die Software kann nach Angaben des Anbieters 14 Tage kostenlos getestet werden. Der Scan-Umfang unterscheidet sich je nach Ausbaustufe, zu den Sicherheitstests gehören Themen wie Cross Site Scripting, SSL/TLS-Schwachstellen oder auch SQL Injection.