Web-Security: 6Scan scannt Web-Seiten nach Sicherheitslücken

    Die israelische Web-Security-Firma 6Scan bietet einen IT-Sicherheitsservice an, der einen Security-Check von Web-Seiten durchführt. In der Basisversion ist der Service kostenlos. 6Scan will mit dieser Aktion potenzielle Kunden auf seine Dienstleistung aufmerksam machen.

    6Scan: Kostenloser Sicherheitsscan von Web-SeitenDer Start einer Analyse ist denkbar einfach: Der Nutzer muss eine E-Mail-Adresse und die URL der Web-Site eingeben, die überprüft werden soll. Werden bei der Analyse Schwachpunkte entdeckt, erhält der Nutzer per E-Mail eine entsprechende Nachricht. Allerdings werden eventuell entdeckte Schwachstellen nicht automatisch beseitigt. Diese Funktion ist den kommerziellen Versionen des Online-Tools vorbehalten.

    Zielgruppe: Kleinere Unternehmen

    Nach eigenen Angaben adressiert das Unternehmen mit seinem Web-Security-Service vor allem kleinere Unternehmen, Blogger, Betreiber von privaten Web-Seiten sowieFirmen, die sich keine ausgefeilte Web-Security-Lösung leisten können. Solche Unternehmen sind nach Angaben von 6Scan in den vergangenen Monaten stärker in den Fokus von Cyber-Kriminellen gerückt, etwa um über gehackte Sites Schadsoftware auf die Rechner von Besuchern dieser Seiten zu transferieren.

    6Scan untersucht Web-Seiten auf Schwachstellen hin. Ein Vulnerability-Scanner prüft die Internet-Seite auf gängige Sicherheitslücken in Web-Anwendungen hin. Die Basis bildet die Liste mit den am häufigsten auftretenden Schwachstellen, die das Open Web Acceleration Security Project zusammenstellt. Dazu zählen klassische Angriffsverfahren wie SQL Injection und Cross-Site-Scripting.

    Der zweite Scanner nutzt die Daten der Open Source Vulnerability Database und Informationsservices wie Packet Storm, außerdem Informationen über Schwachstellen, die Fachleute von 6Scan zusammentragen.

    Erweiterte Funktionen für zahlende User

    Für rund 10 Dollar im Monat stehen erweiterte Funktionen bereit, etwa die automatische Beseitigung von Sicherheitslücken und das Einspielen von Patches. Dazu muss der Betreiber allerdings ein Agent-Script auf seiner Web-Seite einbinden. Die Professional Version für rund 30 Dollar monatlich stellt zusätzlich eine Firewall und die automatische Beseitigung von Malware zur Verfügung. In der Enterprise-Variante für fast 50 Dollar sind eine Intrusion Detection und Daten über die Verfügbarkeit der Web-Services enthalten.

    Allerdings haben auch Nutzer der kostenlosen Ausgabe des Dienstes die Option, erkannte Schwachstellen zu beseitigen. Das erfolgt allerdings nicht automatisch, sondern im "Handbetrieb". 6Scan will dazu entsprechende Support-Dokumente bereitstellen.

    Die automatische Schwachstellenbeseitigung nutzt das "Virtual Patching". Dabei bleibt der Original-File auf dem Web-Server unverändert. Allerdings hat 6Scan die Möglichkeit, auch diese Dateien nötigenfalls zu überschreiben. Das dürfte nicht jedem Web-Master beziehungsweise Sicherheitsspezialisten gefallen, auch wenn der 6Scan-Service alle Änderungen dokumentiert.

    Keine Kommentare