Sicherheitslücken bekämpfen

Mehr Sicherheit für Webanwendungen mit Zed Attack Proxy Project (ZAP)

| Autor / Redakteur: Thomas Joos / Thomas Joos

Mehr Sicherheit für Webanwendungen mit Zed Attack Proxy Project (ZAP)
Mehr Sicherheit für Webanwendungen mit Zed Attack Proxy Project (ZAP) (Thomas Joos)

Jeder Administrator oder Entwickler, der eine Webanwendung betreibt oder verwaltet, muss mit Sicherheitslücken kämpfen. Vor allem bei Webshops, Blogs, Wikis oder Webseiten mit Authentifizierung besteht auch noch die Gefahr, dass Kundendaten an Unbefugte gelangen.

Aus diesem Grund sollten sich Verantwortliche mit dem Thema Penetrationstests auseinandersetzen, also dem gezielten Suchen nach unsicheren Bereichen in der Webanwendung.

In diesem Beitrag stellen wir Ihnen das OpenSource Tool Zed Attack Proxy Project (ZAP) vor. Dieses bietet umfassende Sicherheitsanalysen und Tests für verschiedene Arten von Webangriffen. Die Einrichtung ist schnell erledigt, die Tests sind aussagekräftig, und das Tool ist ein gutes Hilfsmittel beim Entdecken von Sicherheitslücken.

Voraussetzungen und Grundlagen zu ZAP

Zunächst muss festgehalten werden, dass Tools wie Zed Attack Proxy (https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project) zwar dazu genutzt werden können, um Sicherheitslücken in Webanwendungen zu entdecken. Allerdings können solche Tools keinen Ersatz oder eine Basis für die Sicherheitsstrategie von Webanwendungen sein.

ZAP dient als Zusatztool, um Ihre bereits bestehende Sicherheitsinfrastruktur und die Webanwendungen zu testen. Vorteil von ZAP ist die, im Vergleich mit anderen Tools, einfache und schnelle Installation, wenn Sie zum Beispiel die Windows-Variante herunterladen. Sie benötigen auf den Servern, die Sie testen, keinen Agent und müssen auch keine Änderungen vornehmen. Sie benötigen nur einen PC oder einen Server, der Verbindung mit der Webanwendung aufbauen kann. Auf diesem installieren Sie ZAP und Java und schon können Sie mit den Tests Ihrer Webanwendung beginnen.