28.11.2018
Crashtest Security
1. Teil: „Automatisiertes Pentesting für sichere Web-Apps“
Automatisiertes Pentesting für sichere Web-Apps
Autor: Stefan Bordel
Meeerkat / Shutterstock.com
Crashtest Security möchte mit seiner Lösung die Qualitätssicherung von Web-Anwendungen vorantreiben. Mit den automatisieren Pentests des Münchner Start-ups lassen sich Sicherheitslücken bereits in der laufenden Entwicklung ausmerzen.
Crashtest Security ist ein kleines Security-Start-up aus München, das einen Online-Sicherheitsscanner für Web-Anwendungen entwickelt hat. Im Gespräch mit com! professional erläutert Mitgründer Janosch Maier die Funktionsweise der SaaS-Lösung und die strategischen Ziele des jungen Unternehmens.
Der Ursprung von Crashtest Security führt auf eine Vorlesung zum Thema Secure Coding an der TU München zurück. Dort hatten die jungen Informatiker die Aufgabe, als Team eine Online-Banking-Anwendung zu erstellen und die Lösung der anderen Teams anzugreifen. Dabei ist den künftigen Gründern aufgefallen, dass es sehr wohl gute Tools gibt, um spezielle Sicherheitsszenarien zu scannen. Allerdings ist es schwierig, diese Anwendungen miteinander zu verknüpfen. So erfordern die vorhandenen Lösungen ein großes Sicherheitswissen, um sämtliche Gefahrenbereiche abzudecken. "Aber selbst wenn ich die passenden Tools einsetze, muss ich diese immer noch entsprechend konfigurieren und die Ergebnisse interpretieren können." Und genau hier setzt die Lösung des Start-ups nun an:
Kunden beziehen den Dienst direkt aus der Cloud. Nach einer Registrierung auf der Webseite stehen die Pentests bereits im Rahmen einer kostenlosen Testphase zur Verfügung und können direkt eingesetzt werden. "Damit geben die Kunden die Security-Workflows quasi an uns ab, was speziell für Firmen interessant ist, die selbst keine eigene Security-Abteilung besitzen, die aber dennoch bei der Entwicklung neuer Tools auf Pentesting angewiesen sind." Entsprechend setzen sich die Kunden von Crashtest Security aus Software-Herstellern zusammen, die Web-Lösungen für Shops und andere Dienste entwickeln. Dabei arbeitet Crashtest Security im Idealfall bereits während der Herstellung mit dem Software-Entwickler zusammen, um mögliche Schwachstellen aufzuzeigen. Zielsetzung sei es durch diesen Ansatz, dass Fehler möglichst nicht beim Kunden ausgeliefert werden.
Daneben arbeitet das Start-up an einer Lösung für Großkunden, die dann eine eigene VPC (Virtual Private Cloud) erhalten, die direkt über einen Tunnel mit dem eigenen Rechenzentrum verbunden ist. Dadurch steht die Datenbank nur im eigenen Rechenzentrum, wodurch die Kunden eine höhere Performance und mehr Datenschutz erhalten.
Sicherheitslösung für den Mittelstand
Dennoch entwickelt das Start-up die Lösung primär für den Mittelstand. "Unsere Kundschaft entwickelt viel Software, hat aber keine Mittel für eine eigene Sicherheitsabteilung oder findet schlichtweg nicht geeignetes Personal." Denn kompetente Sicherheitsexperten arbeiten meist bei größeren Playern wie Google oder der Allianz. "So findet etwa der Metallbau-Mittelständler diese Leute oft gar nicht, die er für die Absicherung seiner Indutrsie-4.0-Lösungen benötigt. Und selbst da, wo die Leute vorhanden sind, sind diese zumeist mit den bestehenden Aufgaben mehr als ausgelastet. Da bietet sich eine automatisierte Lösung natürlich an."
Prinzipiell ist das Start-up davon überzeugt, dass manuelle Sicherheitstest immer mehr durch automatische Lösungen abgelöst werden müssen, weil einfach die Kapazitäten nicht vorhanden sind, um mit der agilen Entwicklung mitzuhalten.
2. Teil: „So testet Crashtest Security “
So testet Crashtest Security
Bei den Scans orientiert sich Crashtest Security auf die gängigsten Lücken aus dem OWASP (Open Web Application Security Project). Klassische Themen sind dabei Injection-Angriffe wie etwa der Zugriff via SQL-Injection auf eine Datenbank oder Command-Injection zum Ausführen von Befehlen auf fremden Systemen. So hat Maier etwa vor kurzem eine Webseite in der Wildnis gesehen, bei der über ein Formular beliebige Linux-Befehle ausführbar waren. "In einem Fall hatten wir eine Cross-Site-Scripting-Lücke gefunden, die das Einschleusen von JavaScript-Code erlaubte, der dann bei anderen Nutzern ausgeführt wurde."
Mit wenigen Klicks zum Web-Pentest
Auf Anwenderseite kommt von der Komplexität der Scans hingegen wenig an. Die Lösung von Crashtest Security lässt sich über eine aufgeräumtes Bedienoberfläche steuern. Auf dem Dashboard des Tools zeigt Crashtest Security, eine Übersicht zu den vorangegangenen Scans und die angelegten Projekte. Mit wenigen Klicks lässt sich ein neues Projekt für den Scann einer Webanwendung anlegen. Dabei besteht die Option, eine Webanwendung oder eine API zu untersuchen. "Bei Letzterem wird eine Beschreibungsdatei der Schnittstelle eingelesen, wodurch wir Informationen aller Endpunkte für den Scan erhalten," erklärt Maier. Derzeit ist das API-Scannen zwar noch als Beta ausgewiesen, prinzipiell arbeite die Lösung aber bereits sehr stabil und zuverlässig. Zusätzlich lassen sich auch Zugangsdaten in das System integrieren, um nicht nur die Seite von außen zu scannen, sondern auch eingeloggt als Benutzer interne Bereiche zu untersuchen.
Während der Scan läuft, zeigt die Lösung in Echtzeit, welche Fehler gefunden wurden. Gleichzeitig werden zu den aufgedeckten Lücken in einer integrierten Datenbank Vorschläge zum Beheben der Lücken genannt. Außerdem erhalten Entwickler dort direkt Codebeispiele zum Beheben der Fehler. Der abgeschlossene Scan lässt sich nach Beendigung auch als PDF für die interne Nachweispflicht heruntergeladen. Zudem erlaubt Crashtest Security auch eine Übertragung der Ergebnisse an den Build Server. So kann bei kritischen Fehlern verhindert werden, dass die untersuchten Software-Versionen dennoch ausgerollt werden.
Huawei Roadshow 2024
Technologie auf Rädern - der Show-Truck von Huawei ist unterwegs
Die Huawei Europe Enterprise Roadshow läuft dieses Jahr unter dem Thema "Digital & Green: Accelerate Industrial Intelligence". Im Show-Truck zeigt das Unternehmen neueste Produkte und Lösungen. Ziel ist es, Kunden und Partner zusammenzubringen.
>>
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
Glasfasernetz
GlobalConnect stellt B2C-Geschäft in Deutschland ein
Der Glasfaseranbieter GlobalConnect will sich in Deutschland künftig auf das B2B- und das Carrier-Geschäft konzentrieren und stoppt die Gewinnung von Privatkunden mit Internet- und Telefonanschlüssen.
>>