W3AF

So hatten die Autoren zum Beispiel die Forderung gestellt, mit dem W3AF-Plugin nicht nur die Default-Seite eines Webservers zu scannen, sondern auch komplexere Webapplikationen, die zum Beispiel mit Name Based Virtual Hosts (Apache), Host Header Names (MS IIS) oder nicht von der Default-Webseite aus verlinkt sind.

Greenbone hat dafür innerhalb von 24 Stunden eine zusätzliche Option (»Seed URL«) in die W3AF-Parameter-Einstellungen implementiert und sie mit dem nächsten Update des Feed veröffentlicht.

Vergleich mit Open VAS

Die GSM-Appliance konzentriert sich zurzeit stark aufs Vulnerability Assessment und kann auf den ersten Blick nur wenig mehr als Open VAS. Für den GSM spricht aber, dass es sich um eine schlüsselfertige Lösung handelt, mit deren Web-basiertem GUI sich angenehmer arbeiten lässt als mit dem GTK-basierten Open-VAS-Client. Auch muss sich der Admin beim Betrieb der grünen Echse nicht (wie bei Open VAS) mit einer Client-Server-Lösung auseinandersetzen.

Die Appliance liefert heute allerdings noch nicht die großen Antworten für alle Vulnerability-Management-Anforderungen. So haben die Autoren im Test die Möglichkeit vermisst, die angelegten Scan-Targets mit Prioritäten zu versehen. In der Praxis ist aber nicht jeder Server gleich wichtig, eine Schwachstelle in einem System, mit dem ein Unternehmen aktiv Geld verdient, ist unter Umständen kritischer einzustufen als eine Lücke auf dem Webserver mit den Stellenanzeigen. Und auch die Schwachstellen unterscheiden sich: Eine alte Lücke, zu der es bereits viele Exploits gibt, ist meist kritischer als eine neue.