Web Schwachstellen Scanner Acunetix – einfach erklärt

23 September 2017
Web Schwachstellen Scanner Acunetix – einfach erklärt

Ist Ihre Website sicher vor Cyberkriminellen ? Web Vulnerability (Schwachstellen) Scanner bieten Website-Betreibern die Möglichkeit, ihre Webanwendungen auf mögliche Sicherheitslücken zu prüfen und somit quasi selbst zu hacken bevor es Cyberkriminelle tun.

Acunetix Web-Schwachstellen Scanner

acunetix logo

 
Acunetix ist einer der weltweit führenden Anbieter von Web Vulnerability Scannern und bietet mit seinen einzigartigen Funktionen ein professionelles Tool um Sicherheitslücken in Webanwendungen aufzudecken.
Viele Webseiten sind nicht individuell programmiert, sondern nutzen standardisierte Webanwendungen, die oft millionenfach im Einsatz sind.
Dazu gehören beispielsweise Content-Management-Systeme (CMS) wie Wordpress, Joomla, Drupal und E-Commerce-Lösungen wie Magento, Shopware etc.

Die Individualisierung der Webseite erfolgt oft erst durch zusätzliche Komponente oder Plug-Ins. Über 25 Prozent aller Webseiten weltweit basieren zudem auf Wordpress, Tendenz steigend.

Selbstprogrammierte Webanwendungen sind natürlich auch betroffen und können sicherheitskritische Schwachstellen aufweisen.

„Hacken“ Sie Ihre Website bevor es Hacker tun!

Abhilfe gegen das vorliegende Bedrohungsszenario schaffen professionelle Web Schwachstellen-Scanner, die genauso intelligent und automatisiert wie die Cyberkriminelle vorgehen.
Mit Hilfe dieser Vulnerability Tools lässt sich jede Website und Online-Shop nach Schwachstellen scannen. Sie „hacken“ damit Ihre Webseite quasi selbst – damit kriminelle Hacker später keine Chance haben!

Einer der besten Schwachstellen-Scannern weltweit ist Acunetix. 

Wir haben für Sie in diesem Artikel alle relevanten Informationen zum Web Schwachstellen-Scanner Acunetix zusammengefasst. 

Darüber hinaus haben wir für Sie eine Checkliste erstellt. In dieser erfahren Sie, welche Risiken unentdeckte Web-Schwachstellen für Ihren geschäftlichen Erfolg haben.



Acunetix Scan    Acunetix vulnerabilities

Die Funktionen von Acunetix: Scan, DeepScan, AcuMonitor & AcuSensor

Acunetix-Analyse: Crawling, Scanning und Reporting

Jedem Scan, der über Acunetix durchgeführt wird geht ein sogenannter „Crawl“ voraus. Dieses Verfahren ist dem Crawling von anderen Maschinen (z.B. Google-Crawler zur Indexierung von Webseiten) sehr ähnlich. Während des Crawls wird die komplette Informationsarchitektur einer Webseite oder Webanwendung erfasst und gespeichert. Auf Basis dieser Daten findet im Anschluss der Scan statt. Im Zuge des Scans wird jede einzelne Unterseite und jedes Eingabeformular gründlich auf Sicherheitslücken geprüft. Der Umfang, die Geschwindigkeit und der Geltungsbereich des Scans können dabei im Vorfeld individuell angepasst werden.


Darüber hinaus ermöglicht Acunetix es den Nutzern, Scans in regelmäßigen Abständen automatisch zu wiederholen, um neue Schwachstellen schnellstmöglich aufzuspüren.

Sehr nützlich ist auch die Funktion, bestimmte Sicherheitslücken als geschlossen (gefixt) zu markieren. Falls diese so markierte Schwachstelle innerhalb eines Scans doch erneut auffallen sollte, kann in der Acunetix-Suite vorab ein entsprechender Alarm eingestellt werden, der umgehend über dieses erneut aufgetretene Problem informiert. Bereits vorbereitete Gegenmaßnahmen können so schneller eingeleitet werden.
Die weiteren Schritte nach dem Crawl- und Scan-Prozess sind die Schritte „Report“, „Remediate“ und „Verify“.

Der Vorteil: Schon der Basis-Scan von Acunetix deckt zahlreiche Schwachstellen und potentiell gefährliche Sicherheitslücken zielsicher auf. Acunetix prüft auf über 3.000 mögliche Schwachstellen.

Acunetix-Reporting: Sicherheitslücken-Reports für Developer und zahlreiche Compliance-Reports

Die auf Basis von Crawl und Scan erstellten Reports sind vielfältig nutzbar: unter anderem für die Fehlerbehebung durch Entwickler oder den Nachweis des Einhalts wichtiger Compliance-Richtlinien (z.B. ISO27001, PCI DSS, OWASP top 10 oder HIPPA).

Der Vorteil: Zum Teil sehr komplexe Reports werden vollautomatisch erstellt und können direkt verwendet beziehungsweise weitergeleitet werden.

Acunetix-Integration mit Issue Trackern: Schwachstellen direkt auf die Entwickler-ToDo-List schicken.

Acunetix mit Issue Trackers

„Issue Tracker“ sind für Webentwickler und andere Programmierer eine große Hilfe, denn sie optimieren den Workflow und die Zusammenarbeit und minimieren die Zahl von Abstimmungs-Emails und versendeten PDF-Reports. Alle während des Software-Lebenszyklus anstehenden ToDos, Bugfixes und Code-Optimierungen können in einem Issue Tracker zusammengefasst werden und stehen dann den Entwicklern im gewohnten und gewünschten Format zur Verfügung.
Acunetix bietet deswegen den nächsten logischen Schritt: Entdeckte Schwachstellen und Sicherheitslücken lassen sich – mit entsprechend hoher Priorität – in bestehende Issue-Tracker-Systeme integrieren. Moderne Webanwendungen sind oft komplex und erfordern nicht selten die Zusammenarbeit von mehreren Entwicklern (z.B. PHP-Spezialist und JavaScript-Experte). Je komplexer die Web-Applikationen sind und je höher die Zahl der Beteiligten, desto eher lohnt sich ein sogenanntes „Issue Tracker“-System.

Acunetix Flagship Technologies: Erweiterter Funktionsumfang mit DeepScan, AcuMonitor und AcuSensor

Acunetix bietet in seiner Suite drei weitere einzigartige Funktionen:
  • Acunetix DeepScan: Die Kombination aus HTML5 und JavaScript ist der Branchenstandard für moderne Webseiten. Besonders JavaScript stellt viele Tools, die nach Sicherheitslücken und Schwachstellen scannen, vor große Probleme. Oft findet – wenn überhaupt – nur ein oberflächlicher Scan statt. Die DeepScan-Funktion von Acunetix bietet als einziges Scan-Tool am Markt die notwendige Tiefe und Gründlichkeit.

  • Acunetix Deep Scan
  • Acunetix AcuMonitor: Diese Acunetix-Funktion ist das Mittel der Wahl, wenn es darum geht, Sicherheitslücken zu identifizieren, die sich durch Webseitenübergreifendes Skripting (Cross-Site-Scripting, XSS) ausnützen lassen. Die Kombination aus Acunetix und AcuMonitor deckt unter anderem folgende Schwachstellen zielsicher auf: Blind Server-side XML/SOAP Injection, Blind XSS, Host Header Attack, Server-side Request Forgery (SSRF) und XML External Entity Injection (XXE)

  • Acumonitor
  • Acunetix AcuSensor: Diese Funktion ermöglicht das Gray-Box-Testing von Webanwendungen. Gray-Box-Testing vereint die Vorteile von White-Box-Tests und Black-Box-Tests- Bei einem Black-Box-Test wird nur das von außen prüfbare Verhalten einer Software-Applikation auf Schwachstellen getestet. Der ausgeführte Code selbst, bleibt unberücksichtigt, also quasi eine „Black Box“. Bei einem White-Box-Test wird dagegen direkt der Quellcode während der Ausführung analysiert. Die Kombination beider Test-Routinen bringt entsprechend bessere und genauere Ergebnisse.

  • AcuSensor

Acuneti Multi-Engine Funktion für Enterprise-Kunden:

Die Acunetix-Funktion Multi-Engine wurde für Unternehmenskunden entwickelt, die ihre Prozesse in einer naturgemäß dezentralen Organisation konsolidieren und optimieren wollen.
Dies ist durch die Verwendung mehrerer Acunetix-Scanner möglich, wobei eine Master-Installation erforderlich ist und mehrere Scanmodule installiert werden. Die Steuerung erfolgt dabei von einem einzigen, zentralen Gerät aus. Besonders hervorzuhebende Merkmale:
  • Es werden verschiedene Module (Maschinen/virtuelle Maschinen/Kundenmaschinen für Prüfungen/unterschiedliche Abteilungen/Netzwerke/Standorte) unterstützt und Lizenz-Roaming  ermöglicht.

  • Die Module sind skalierbar: Derzeit werden 5, 10, 20 und 30 unterstützt. Es können jedoch auch mehr als 30 unterstützt werden. (Jedes Modul führt gleichzeitig 5 Scans durch).

  • Der Lizenznehmer kann eine zentrale Instanz mit eigener Scanfunktion installieren und mehrere Scanmodule steuern.
Multi-Engine bietet einen hohen Grad an Flexibilität:
  • Einer der Mitarbeiter kann das Modul installieren und anwenden, um kurzfristige Aufgaben (Aufgaben, die nicht über einen längeren Zeitraum durchgeführt werden) z. B. in einer Niederlassung oder bei Dritten durchzuführen.
Hacker müssen draußen bleiben

Checkliste:


Welche Risiken birgt der Verzicht auf einen proaktiven Schwachstellen-Scan? Eine gehackte, infizierte oder anderweitig unsichere Webseite hat zahlreiche negative Folgen. Entsprechend hoch ist also das Risiko, wenn auf die proaktive Suche nach Schwachstellen und Sicherheitslücken verzichtet wird. Der Verzicht auf proaktive Sicherheitsmaßnahmen kann beispielsweise folgende negative Effekte haben:
  • Imageschäden und Umsatzverluste durch Ausfall der Webseite sowie Verlust sensibler Daten.
  • Sensible Daten (z.B. Kundendaten, Finazdaten, Kontodaten etc.) sind in Gefahr
  • Abgeschreckte Potentialkunden und verunsicherte Stammkunden
  • Sperrung der Webseite aus Sicherheitsgründen durch den Hosting-Anbieter
  • verlorenes Vertrauen (Trust) bei Google und anderen Suchmaschinen durch Google Blacklisting

Die Gründe für gehackte, infizierte, blockierte oder anderweitig attackierte Unternehmenswebseiten sind übrigens vielfältig:

  • Industriespionage
  • (z.B. aus China, Russland etc.)
  • Rufschädigung und/oder Schwächung der Konkurrenz (z.B. durch Wettbewerber)
  • Angriffe durch „Skript-Kiddies“, die sich im Internet beweisen wollen
  • Integration von möglichst vielen Webseiten in Bot-Netzwerke 
  • Erpressung (z.B. durch Cyberkriminelle)
  • weitere Verbreitung von Viren und Trojanern (z.B. über möglichst viele Webseiten und Mail-Accounts)
  • Zugriff auf sensible Kunden-, Bank oder Kreditkartendaten (z.B. durch hoch organisierte Cyberkriminelle)
  • Aktivisten-Hacking, um ein Unternehmen bloß zu stellen

Schwachstellen-Scan für Ihre Website jetzt Kostenlos und unverbindlich testen!



acunetix partner

Als zertifizierter Partner von Acunetix, bietet NET WÄCHTER Ihnen die Möglichkeit, Ihre Webanwendungen mit einem professionellen Web Schwachstellen-Scanner von Acunetix einmal kostenlos und unverbindlich zu testen.


Jetzt Ihre Website oder Online-Shop kostenlos mit Acunetix scannen lassen!

NET WÄCHTER testen


Bei Fragen rund um Acunetix können Sie uns gern jederzeit  kontaktieren.


In unserer Artikel-Serie „IT-Security einfach erklärt“ finden Sie verständliche und hilfreiche Informationen zu IT-Bedrohungen und Gegenmaßnahmen durch IT-Security.

Sie möchten immer auf dem neuesten Stand zu Technologien und Abwehrmaßnahmen sein? Abonnieren Sie unsere RSS Feed und Newsletter und verpassen Sie keine neuen Artikel rund um IT und Web-Security.

Zurück zur Liste

Bitte geben Sie Ihre E-Mail Adresse ein um
NET WÄCHTER 14 Tage kostenlos zu testen.

  Ich bestätige die AGB's und Datenschutzerklärung


   Ja, ich möchte den NET WÄCHTER Newsletter abbonnieren. Mir ist bekannt, dass ich den Newsletter jederzeit abbestellen kann.


Bitte füllen Sie das Formular aus.

  Ich bestätige die AGB's, Partnervereinbarung's und Datenschutzerklärung



Vielen Dank für ihre Interesse an NET WÄCHTER Partnerprogramm und ihre Registrierung.

Ihre Anfrage wird bearbeitet und unser Channel Manager nimmt bald Kontakt mit Ihnen auf.

Hier können Sie unsere Partnerpräsentation herunterladen:
Partnerpräsentation