https://wiki-de.moshellshocker.dns64.de/api.php?action=feedcontributions&feedformat=atom&user=88.65.12.44Wikipedia (Deutsch) – Lokale Kopie - Benutzerbeiträge [de]2026-06-11T19:58:55ZBenutzerbeiträgeMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Sicherheitstest_(Software)&diff=580331Sicherheitstest (Software)2021-09-27T13:17:18Z<p>88.65.12.44: /* Weblinks */ 2. Link zum BSI für den Webkatalog aktualisiert. Original Link hatte 404 Seite gezeigt.</p>
<hr />
<div>'''Sicherheitstests''' sind [[Softwaretest]]s, welche die Sicherheit einer [[Software]] testen. Sie stellen eine Möglichkeit zur Erhöhung der [[Informationssicherheit]] dar. Die Tests können beginnen, sobald die erste Zeile [[Quelltext]] geschrieben wurde, damit Fehler so früh wie möglich entdeckt werden.<br />
<br />
== Besonderheiten ==<br />
Sicherheitstests haben eine andere Fragestellung als die meisten der übrigen, allgemeinen Tests, weil sie den Nachweis erbringen sollen, dass eine Software keine Funktionen enthält, die sie nicht enthalten soll. Daher handelt es sich bei Sicherheitstests meistens um sogenannte [[Negativtest]]s. Weiterhin sollen Sicherheitstests den Beweis erbringen, dass keine unsicheren [[Nebeneffekt]]e in einem Programm vorhanden sind, weil bereits ein einzelner Fehler ausreicht, um das gesamte Programm zu kompromittieren. Die Formulierung eines Sicherheitstests ist in der Regel problematisch, weil die Muster der Schwachstellen nicht präzise genug definierbar sind. Sicherheitstests können allerdings nie den Beweis erbringen, dass eine Software zu einhundert Prozent sicher ist.<br />
<br />
== Ziel ==<br />
Das Ziel von Sicherheitstests ist das Auffinden von sicherheitskritischen Schwachstellen in Programmen. Auf diese Weise wird versucht, die Abwesenheit von Schwachstellen in einer Software zu erbringen. Wichtig ist, dass sich die Tests über das gesamte Programm erstrecken, weil, wie oben bereits angeführt, ein einzelner Fehler ausreichend ist, um das gesamte Programm zu kompromittieren.<br />
<br />
== Programmierfehler ==<br />
Sicherheitstests werden entwickelt, um alle Fehler innerhalb eines Programms zu finden. Die meisten dieser sicherheitskritischen Fehler lassen sich auf wenige Ursachen zurückführen. Die häufigste Ursache sind [[Programmierfehler]]. Zur Kategorisierung dieser Programmierfehler existieren verschiedene Schemata, um die einzelnen Fehler sauber voneinander abzugrenzen. Die häufigsten immer wieder genannten Kategorien sind die folgenden:<br />
<br />
* [[Cross-Site-Scripting]]<br />
* [[SQL-Injection]]<br />
* Failing to Protect Data<br />
* [[Buffer Overflow]]<br />
* [[Ausnahmebehandlung|Improper Error Handling]]<br />
* [[Netzwerksicherheit|Information Leakage]]<br />
* Integer Over- und Underflow<br />
* unsichere Handhabung von File-Links<br />
* [[Race Condition]]s<br />
* [[Formatstring-Angriff]]e<br />
* etc.<br />
<br />
Im Rahmen des [[Open Web Application Security Project]] (OWASP) wurde eine Applikation ([[WebGoat]]) entwickelt, die dem Nutzer hilft, die verschiedenen Programmierfehler zu verstehen und nachzuvollziehen. Diese Applikation ist dadurch auch eine gute Ausgangsbasis für die Entwicklung von Sicherheitstests.<br />
<br />
== Werkzeuge ==<br />
Bei den nachfolgend aufgelisteten Werkzeugen handelt es sich zumeist um Sicherheits-Testwerkzeuge. Einige der Werkzeuge sind [[Open Source]].<br />
<br />
* [[Jlint]] (Java)<br />
* [[PQL]]/bddbddb (Java)<br />
* [[Nikto]] (Perl)<br />
* [[Rough Auditing Tool for Security|RATS]] (C, C++)<br />
* [[WebScarab]]<br />
* [[ITS4]] (C, C++)<br />
* [[Virtual Forge CodeProfiler]] (SAP ABAP)<br />
* [[Fortify SCA Suite]] (Java, C, C++ etc.)<br />
* [[Beyond Security]] beSTORM (Fuzzing Tools für über 140 verschiedene Protokolle, z.&nbsp;B. IPv4, IPv6, SIP, DHCP)<br />
* [[Microsoft Security Development Lifecycle]] (SDL) (8 frei verfügbare Anwendungen)<br />
<br />
== Siehe auch ==<br />
* [[Proof-Carrying Code]]<br />
<br />
== Literatur ==<br />
* Michael Howard, David LeBlanc: ''Writing secure code. Practical strategies and proven techniques for building secure applications in a networked world.'' 2nd edition. Microsoft Press, Redmond, WA 2003, ISBN 0-7356-1722-8<br />
<br />
== Weblinks ==<br />
* [http://www.owasp.org/ Open Web Application Security Project]<br />
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/WebSec/WebSec.html Bundesamt für Sicherheit in der Informationstechnik (BSI): Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen]<br />
* [http://www.suse.de/~thomas/papers/SecProg/Sicherheitsrelevante%20Programmierfehler.pdf Sicherheitsrelevante Programmierfehler] (PDF; 1,1&nbsp;MB)<br />
* [http://msdn.microsoft.com/de-de/security/ Security Developer Center] im [[Microsoft Developer Network|MSDN]]<br />
* [https://www.mgm-sp.com/penetration-test-faq/ Die große Application Security Penetration Test FAQ für Auftraggeber]<br />
<br />
[[Kategorie:Testen (Software)]]<br />
[[Kategorie:Sicherheitslücke]]<br />
<br />
[[en:Security testing]]</div>88.65.12.44