Grendel-Scan 1.0: Automatischer Sicherheitscheck für Webanwendungen

- 13. August 2008

Auf der Security-Konferenz Defcon in Las Vegas ist Grendel-Scan vorgestellt worden, ein Testwerkzeug für die Sicherheit von Webanwendungen, das nun in Version 1.0 vorliegt.

Das Open-Source-Tool ist in Java umgesetzt und steht daher für vielfältige Plattformen zur Verfügung. Es verwendet Java-Komponenten aus dem Apache-Projekt, Mozillas Javascript-Engine Rhino sowie die Datenbank des freien Scanners Nikto.

Grendel-Scan lässt sich als Proxy zwischen Browser und zu untersuchender Website schalten, so dass der Tester den HTTP-Verkehr ansehen und verändern kann. Die Anwendung vereint ein breite Palette an Tests auf Cross-Site-Scripting (XSS), Cross-Site Request Forgery (CSRF), SQL-Injection sowie Schwächen des Session Managments.

Ein Überblick über die Features von Grendel-Scan finden sich in einer Powerpoint-Präsentation der Entwickler.

Die Macher David Byrne und Eric Duprey heben als besonderen Vorteil ihrer Software hervor, dass sie Tests auf triviale Sicherheitslücken automatisiert durchführen kann. So lassen sich Arbeitsstunden qualifizierter Security-Mitarbeiter einsparen, die sich dann auf anspruchsvollere manuelle Untersuchungen konzentrieren können. Individuelle Security-Tests und Code Review sind nach Ansicht der Entwickler nämlich weiterhin notwendig, um die Sicherheit einer Webanwendung zu gewährleisten: Ein Werkzeug wie Grendel-Scan könne beispielsweise Schwächen in Logik oder Konzept der Anwendung nicht erkennen.

Das unter GPLv3 lizenzierte Tool besitzt neben Java 5 keine weiteren Abhängigkeiten. Auf der Downloadseite des Projekts steht Grendel-Scan 1.0 im Quelltext sowie in Builds für Linux, Windows und Mac OS X zum Download bereit. Daneben gibt es eine Slax-basierte Live-CD mit dem Scanner samt einer fehlerhaften Webanwendung zu Demonstrationszwecken. Das ISO-Image enthält allerdings noch Grendel-Scan in Version 0.9.

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Trump unterzeichnet Anordnung zur Überprüfung von KI-Modellen

Die Anordnung stellt eine Abkehr von der bisher vom Weißen Haus gegenüber KI verfolgten zurückhaltenden Haltung dar. Sie folgt auf Debatten darüber, wie man die Kontrolle über KI-Modelle erlangen könne, ohne dabei die Innovation zu behindern.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

Flathub verbietet KI-generierte Inhalte aller Art

Flathub, das zentrale Repository für Flatpak-Apps, hat eine neue Policy eingeführt, der zufolge KI-generierte oder -assistierte Inhalte verboten sind.

Anthropic beantragt Börsengang

Anthropic, das KI-Unternehmen hinter dem Chatbot Claude, hat vertraulich einen Antrag auf einen Börsengang eingereicht.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen