Hor - stock.adobe.com

JavaScript-Schwachstellen aufspüren

Die JavaScript-Sicherheit dynamischer Webanwendungen zu überprüfen, kann nahezu beliebig komplex sein. Ein neue Sicherheitslösung soll dies automatisiert durchführen.

Das Münchner Unternehmen Crashtest Security bietet jetzt einen JavaScript-Scanner für Webanwendungen an. Für den Test genügt die Eingabe der Domain, wie bei den bisherigen Sicherheitstests des Unternehmens. Der Scanner identifiziert JavaScript-Angriffsvektoren automatisiert im Frontend, im Backend und in der Kommunikation zwischen beiden. Bisher würden derlei Tests häufig manuelle Anpassungen an den Sicherheitswerkzeugen erfordern, so Crashtest Security.

Viele moderne Anwendungen würden JavaScript verwenden, um Inhalte dynamisch aus dem Backend zu laden, jeweils basierend auf dem Verhalten des Benutzers oder anderen Ereignissen. Aufgrund der Änderungen des Inhalts und der Angriffsvektoren sei das automatische Testen von dynamischen Webanwendungen eine Herausforderung.

Die automatische Erkennung von Angriffsvektoren könne bei jedem Scan automatisch ausgeführt werden, um die Logik auf Grundlage der jeweils eingesetzten Version anzupassen. Damit eigne sich die Lösung insbesondere für den Einsatz in der agilen Softwareentwicklung. Der Crashtest Security Scanner lässt sich in bestehende Systeme wie Jenkins oder GitLab integrieren. Durch den automatisierten Sicherheitsscans hätten CISOs jederzeit den Überblick über den momentanen Sicherheitsstatus der eigenen webbasierten Projekte. Die Lösung liefert detaillierte Sicherheitsberichte, dazu gehören auch Anleitungen zur Behebung von gefundenen Schwachstellen.

JavaScript-Schwachstellen in Webanwendungen aufspüren
Abbildung 1: Für den Test genügt die Eingabe der Domäne, ein Dashboard liefert die gefundenen Schwachstellen zurück.

Der Crashtest Security Scanner ist in drei vordefinierten Ausbaustufen erhältlich: Starter, Advanced und Professional. Die Preise beginnen bei 35 Euro pro Monat. Der neue JavaScript-Scanner ist Bestandteil des Advanced-Pakets, das bei 69 Euro pro Monat beginnt. Die Software kann nach Angaben des Anbieters 14 Tage kostenlos getestet werden. Der Scan-Umfang unterscheidet sich je nach Ausbaustufe, zu den Sicherheitstests gehören Themen wie Cross Site Scripting, SSL/TLS-Schwachstellen oder auch SQL Injection.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

ComputerWeekly.de

Close