Security Scanner für Web Anwendungen

[Powie]

Gibt es einen Security Scanner für Web Anwendungen?

Im speziellen finden wir immer wieder User welche ultra sorglos mit alten php Anwendungen umgehen. Egal ob Asbach uralte Mamboo Versionen, Joomla 1.x, phpNuke oder anderer alter Kram, meist fällt es erst auf wenn den Benutzern das CMS geknackt wurde.
Man kann zwar eine Menge für die Server Sicherheit machen, aber ich denke die Gefahr ist enorm das ein Angriff über solche php Anwendungen auch mal auf den Server runter geht. Für die BS Ebene gibt es ja gute Sachen wie AFICK und Rootkit Hunter.

So etwas würde man auch mal für WebAnwendungen benötigen, mit dem man zum Beispiel die vhosts durchsuchen kann und dann die alten Joomla, Wordpress, xxxx. Versionen aufgelistet werden. Gibt es solch eine Software?

 

[Joe User]

Ja, solches Snakeoil gibt es, da es aber per Design nicht funktioniert, verlinke ich es nicht.

 

[d4f]

Wie Joe User schon trefflich schrieb funktioniert es nicht wirklich.
Ausserdem wuerde ich es zumindest als datenschutzrechtlich etwas 'Grauzone' ansehen wenn du mit einem Werkzeug alle Kundenwebspaces durchsuchst.

Was allerdings zumindest die Auswirkung einschraenkenen kann wenn auch nicht die Ursache ist mod_security mit Atomicorp Regeln.
Die 'delayed' sollten fuer alte Programme ausreichen, gegen wirklich neue Luecken (teilweise bevor der Hersteller einen Fix bereitstellen kann) gibt es deren kostenpflichtiges Angebot ueber 99.- USD/Jahr.

 

[Powie]

mod_security und im speziellen die atomiccorp rules habe ich schon mal getestet, das setzt zuviele anwendungen ausser funktion.
mod_security ist sicher genial wenn man eine einzelne plattform hat die man absichern möchte, darauf kann man die rules gut anpassen.
Für eine Umgebung in der aber Benutzer eigene Anwendungen einsetzen ist es meiner Meinung nach nicht geeignet, zudem der Benutzer mit den produzierten Fehlern seiner Anwendungen dann meist überfordert ist.

 

[s24!]

Kann ich - bei 3000 Usern - nicht bestätigen. Entsprechende Hinweisseite statt einfacher Blockierung und der User weiß bescheid, auch darüber, wie er mod_security deaktivieren kann. Gab nie nennenswerte Probleme damit.