Cyber Security Lab

Kompetenzzentrum für Informationssicherheit

Web Security Scanner

Automatisierte Analyse von Web-Anwendungen

Entwicklung eines Web Security Scanners als Web-App zum automatischen Überprüfen einer Web-Anwendung auf Schwachstellen, welcher der Öffentlichkeit bereitgestellt wird und als Grundlage für weitere Forschungsvorhaben dienen soll.

Bei der Erstellung von Web-Anwendungen steht die Sicherheit häufig nicht im Fokus der Entwicklung. Dies rührt meist daher, dass zum einen der Auftraggeber nicht das notwendige Fachwissen besitzt und zum anderen die meisten Sicherheitsmaßnahmen nicht direkt sichtbar sind, also keinen direkten Kundenvorteil darstellen. Aus diesem Grund werden Sicherheitsmaßnahmen häufig nicht explizit eingefordert. Ist bereits ein Sicherheitsbewusstsein vorhanden, kann eine Person ohne fachspezifische Kenntnisse den aktuellen Sicherheitsstatus nicht selbständig überprüfen. Erschwerend kommt hinzu, dass Sicherheitsfeatures von Entwicklern nur selten hoch priorisiert werden, da die Umsetzung mehr Zeit benötigt und dadurch die Entwicklungskosten steigen. Dieses Thema wird oft auf Grund des Zeitdrucks und des teilweise mangelnden Fachwissens in Bezug auf Sicherheitsfeatures auf Seiten der Entwickler vernachlässigt.

Ziel dieses Projektes ist die Entwicklung einer Lösung, mit der Personen ohne tiefgreifendes IT-Fachwissen Sicherheitsindikatoren einer Website mit einer automatischen Schwachstellenanalyse systematisch bewerten können. Die gewonnenen Erkenntnisse über erkannte Sicherheitsprobleme werden so aufbereitet, dass diese Personen die Gefährdungslage einschätzen und weitere Maßnahmen ergreifen können. Mit dem Fokus auf diesen Personenkreis steht eine einfache und selbsterklärende Bedienung im Vordergrund.

Anhand der gewonnenen Erkenntnisse wird eine cloudbasierte Anwendung entwickelt, die automatisch Sicherheitsfaktoren anderer Web-Anwendungen überprüfen kann und wie bereits erläutert, von Personen ohne Fachwissen bedient werden kann.

Bisherige Lösungen und Forschungsansätze beschäftigten sich immer mit einzelnen Komponenten und liefern häufig nur für Fachpersonal verständliche Ergebnisse. Daher unterscheidet sich dieses Forschungsprojekt von anderen Projekten in der Ausrichtung auf die einfache Bedienbarkeit und Verständlichkeit der Ergebnisse.

Aus den bisher genannten Punkten ergibt sich folgende zentrale Forschungsfrage:

Wie kann eine Schwachstellenanalyse einer Web-Anwendung strukturiert und automatisiert durch eine Person ohne Fachkenntnisse im Bereich IT-Sicherheit überprüft werden, ohne dass ein Zugriff auf den Quellcode bzw. die Software der Web-Anwendung erfolgen muss?

Einzelne konkrete Fragestellungen lassen sich aus der zentralen Forschungsfrage ableiten:

+ Wie können Sicherheitsfaktoren bezüglich ihrer automatischen Überprüfbarkeit beurteilt werden?
+ Wie können Sicherheitsfaktoren bezüglich ihrer Auswirkungen beurteilt werden?
+ Wie kann eine Infrastruktur realisiert werden, die eine Vielzahl von Anfragen mit unterschiedlichen Laufzeiten bearbeiten muss?
+ Welche Anforderungen muss das Interface einer Web-Anwendung erfüllen, damit Benutzer ohne Fachkenntnisse die Sicherheitsmerkmale einer Website überprüfen können?
+ Wie können Hinweise zu Schwachstellen so aufbereitet werden, damit Benutzer ohne Fachkenntnisse diese nachhaltig verwenden können?

Dieses Projekt gewann die hochschulinterne Ausschreibung Fit4Research und wird über 12 Monate durch eigene Mittel gefördert. Das Projekt wurde von Prof. Holger Morgenstern und M.ENG. Tobias Scheible betreut.