Die Web Scan Service Funktionsweise

Im Gegensatz zu anderen Produkten, bietet der Web Scan Service die komplexeste Scanningtechnologie und ein ausgereiftes System sowie ein Maximum an Qualität bei der Durchführung der Webscans.

Der Web Scan Service sucht hierbei gezielt nach Sicherheitslücken, basierend auf tausenden von Signaturen und findet auch die verstecktesten Schwachstellen.

Nachdem unsere Webseite und vor allem der Web Scan Service eventuell Ihr Interesse geweckt hat, stellt sich natürlich die Frage, wie ein Webseiten Scan nun tatsächlich erfolgt.

 

Hierfür haben wir hier eine kleine Auflistung aller Schritte erstellt:

Abb. 1: Short-Register Benutzer- registrierung


Abb. 2: Persönlicher, interner Bereich Produktübersicht


Abb. 3: Web Scan Service Scanprojekt erstellen


Abb. 4: Berichterstattung Report- generierung


Abb. 5: Sicherheitslücken Detail- ansicht

  • Anmeldung
    Durch eine kurze Registrierung (weniger als 7 Felder) erhalten Sie Zugang zu all unseren Produkten in Ihrem persönlichen interenen Bereich und können unsere Produkte bequem testen und erwerben (Abb. 1).
  • Auswahl
    Nachdem Sie sich für einen Produkttest oder einen Produkterwerb entschieden haben, erhalten Sie vollautomatisch Zugang zu einem unserer Scanserver (Abb. 2).
  • Scan
    Mit Hilfe des Scanservers setzen Sie dann ein Scanprojekt auf (hierfür stehen wir Ihnen gerne jederzeit auch telefonisch zur Verfügung) und initialisieren Ihren Webscan (Abb. 3). Der Scan Server besteht weitestgehend aus 3 verschiedenen Applikationen (der Crawl-Engine, der Scan-Engine, der Report-Engine).

    Nachdem der Webscan initiiert wurde, startet die Crawl-Engine, um den Inhalt Ihrer Webseite anzusehen und dokumentiert hierbei jeden Inhalt, jedes Formular, jedes Dokument und jede weitere Verlinkung. Danach verfolgt die Crawl-Engine die gefunden Verlinkungen zu weiteren Unterseiten und startet die Dokumentation. Parallel dazu führt die Scan-Engine über 4000 unterschiedliche Tests an jedem gefundenen Objekt, wie z. B. einem Formular, aus.
  • Auswertung
    Nachdem sowohl die Crawl-Engine wie auch die Scan-Engine ihre Arbeit abgeschlossen haben, werden alle gefunden Sicherheitslücken oder Informationen an die Report-Engine übertragen. Die Report-Engine übernimmt diese Informationen, bildet daraus einen Bericht Ihrer Wahl und schickt ihnen eine Benachrichtigung per E-Mail (Abb. 4). Danach haben Sie die Möglichkeit in Ihrem persönlichen, internen Bereich sich die Berichte herunterzuladen oder anzeigen zu lassen.

    Der Inhalt und der Umfang des jeweiligen Berichts variiert jedoch, abhängig davon ob ein Scan mit Hilfe der Testversion von Web Scan Service erfolgte oder die reguläre Version von Web Scan Service verwendet wurde.

    Der Bericht eines Testscan beinhaltet den Umfang der gefunden Sicherheitslücken, jedoch nicht den Ort bzw. weiterführende Details über die gefundenen Sicherheitslücken.

    Der Bericht eines Regulären Scans beinhaltet dafür alle Details der gefunden Sicherheitslücken, angefangen vom Ort bis hin zur ausgeführten Testanfrage welche die Sicherheitslücke identifiziert hat.
  • Behebung
    Nachdem Sie mit Hilfe des Berichts eventuelle Sicherheitslücken behoben haben, können Sie jederzeit einen weiteren Überprüfungsscan ausführen, welcher Ihnen dann aufzeigt ob die gefunden Sicherheitslücken noch präsent sind (Abb. 5).
  • Wiederholung
    Falls erwünscht können Sie anstatt eines einzelnen Scans, auch sog. Scanintervalle festlegen z. B. täglich / wöchentlich / monatlich / pro Quartal. Dieses ist vor allem bei sehr dynamischen Webanwendungen interessant, welche verhältnismäßig viele Änderungen innerhalb eines Zeitfensters besitzen.

    Darüber hinaus kann man durch gewisse Scanintervalle bestimmten Compliance Vorgaben (z. B. den PCI Data Security Standard) entgegenkommen. Der Zugang zu Ihren Scanergebnissen bleibt Ihnen darüber hinaus noch min. 12 weitere Monate zugänglich.