Google hat einen frei erhältlichen Scanner freigegeben, mit dessen Hilfe sich Web-Applikationen auf Sicherheitslücken testen lassen. Die Skipfish genannte Anwendung funktioniert in etwa so wie Nmap, Nessus & Co., soll aber viel schneller zur Sache gehen. Mit heuristischen Methoden erkennt sie vollautomatisch Anfälligkeiten für Cross-Site-Scripting-Attacken, für SQL- und XML-Injection-Angriffe sowie vieles mehr. Eine umfassende Nachbearbeitung der Ergebnisse der Einzelprüfungen soll das Zurechtfinden im abschließenden Bericht vereinfachen.

Skipfish ist in reinem C geschrieben und kann nach Angaben von Google locker 2000 HTTP-Anfragen pro Sekunde absetzen – vorausgesetzt der getestete Server verkraftet eine derart hohe Last. In einzelnen Versuchen in lokalen Netzwerken sollen schon 7000 und mehr Anfrage pro Sekunde abgesendet worden sein, bei moderater CPU-Last und geringem Speicherverbrauch.

Google erreicht die hohe Performance mit einem seriellen I/O-Modell, das Antworten asynchron verarbeitet und wesentlich besser skalieren soll als klassische Ansätze mit mehreren Threads, die Anfragen synchron behandeln. Ein optimiertes Handling von HTTP-Verbindungen mit HTTP-1.1-Range-Requests, Keep-alive-Verbindungen und Datenkompression soll die von Skipfish beanspruchte Netzbandbreite im Rahmen halten.

Nach eigenen Angaben nutzt Google den Scanner selbst, um eigene Web-Applikationen auf unsichere Schnittstellen zu überprüfen. Google weist allerdings auch darauf hin, dass die Sicherheitsprüfungen alles andere als vollständig sind und etwa nicht den WASC-Kriterien (Web Application Security Scanner Evaluation Criteria ) entsprechen. (ola)

Quelle: Heise.de