Freies Tool zum Testen von Web-Diensten

Foundstone Professional Services – die Security Services Group von McAfee – bietet ein neues Werkzeug an, das Schwachstellen in Web-Services erkennen kann. ‘WSDigger 1.0’ stellt die als Penetrationstests bekannten ‘Black Box Style Security’-Tests für Web-Dienste automatisiert zur Verfügung. Das Test-Framework steht unter einer Open-Source-Lizenz, so dass Anwender eigene Plugins entwickeln können.

WSDigger 1.0 simuliert einen böswilligen Anwender, der über keine internen Kenntnisse der Software verfügt, die auf dem Web-Server läuft. Das Werkzeug operiert als Web-Service-Client, der selbst festlegt, wie er mit dem Web-Dienst interagiert und den Nutzer dazu auffordert, Entscheidungen zu fällen. Das Vorgehen des Tools lässt sich in diesen Schritten beschreiben: Erkennung von Diensten, Ermittlung des Angriffsvektors, Test von Exploits und Analyse.

Die Lösung umfasst nach Angaben des Herstellers bereits Plugins für die Abwehr von Cross Site Scripting, SQL Injection und X-PATH Injection Attacks. WSDigger 1.0 steht einschließlich des Quellcodes online zum Download bereit.