Mit »Qualys Guard« können Anwender ihre Web-Anwendungen auf Sicherheitslöcher hin untersuchen. Qualys bietet die »Web-Application-Scanning«-Funktion als Software as a Service an.

Die US-Firma Qualys bietet den Service unter der Bezeichnung »Qualys Guard Web Application Scanning (WAS) 1.0« an. Er ist Bestandteil der Software-as-a-Service-Suite » Qualys Guard«.

Die Lösung testet vollautomatisch kundenspezifische Web-Anwendungen, um die häufigsten Schwachstellen zu ermitteln, die unter anderem in den OWASP-Top-10 und der WASC-Threat-Classification aufgeführt sind. Dazu zählen beispielsweise SQL-Injection und Cross-Site Scripting.

Mit WAS lassen sich nach Angaben des Anbieters beliebig viele interne oder externe Web-Anwendungen in Produktions- und Entwicklungsumgebungen scannen. Das Produkt vermarktet Qualys als SaaS. Anwender verwalten über eine Benutzeroberfläche Web-Applikationen, starten Scans und erzeugen Report.

Steuerung über Black- und Whitelists

Ein eingebetteter Web-Crawler parst HTML-Code und teilweise Javascript, um Links zu extrahieren. Pro Web-Anwendungen lassen sich bis zu 5000 Links analysieren.

Qualys Guard WAS unterstützt http-Basic-, Digest- und serverbasierte NTLM-Authentifizierung sowie einfache Formularauthentifizierung. Die Lösung verhindert, dass der Crawler Links in einer Web-Anwendung »besucht«, die in einer Blacklist aufgeführt sind. Außerdem kann sie den Crawler anweisen, nur diejenigen Web-Seiten aufzurufen, die in einer Whitelist definiert sind.

Damit die Scan-Vorgänge die Leistung der Anwendung nicht beeinträchtigen, stellt WAS Funktionen für die Bandbreitenkontrolle zur Verfügung. Dadurch ist es möglich, parallel mehrere Scans durchzuführen.

»Web-Application-Security ist die neue Verteidigungslinie im Sicherheitsbereich und stellt für die meisten Unternehmen eine große Herausforderung dar«, sagt Philippe Courtot, Chairman und CEO von Qualys. »Dank der Automatisierung unserer neuen Lösung können unsere Kunden per Knopfdruck ihre gesamte Umgebung scannen und sich so einen Überblick über die Sicherheit ihrer Applikationen verschaffen.«

Lesen Sie mehr zum Thema

Weitere Artikel zu Qualys

BT startet Connected Cloud Edge

Multi-Cloud-Konnektivität


Interview mit Bernd Müller, Giesecke+Devrient

Das Potenzial der iUICC ausschöpfen

InControl-App von Peplink für Android verfügbar

Mobile Netzwerkverwaltung per App

Cloud Agent im Container

Qualys kooperiert mit Red Hat

Hilfe in der Corona-Krise

Mit diesen Angeboten unterstützen Hersteller und…