Das Testen mit vollautomatisierten Tools gehört zu den grundlegenden Methoden der Sicherheitsüberprüfung. Diese Art des Testens ist sehr schnell und daher auch kostengünstig. Während seiner Arbeit identifiziert das automatisierte Tool zunächst die verwendeten Technologien, um die Tests gezielter durchzuführen und die Anzahl der Testfälle zu verringern. Anschließend erfolgt das Mapping des Testziels, um alle Komponenten aufzudecken und sämtliche Eingaben zu ermitteln. In der letzten Phase werden konkrete Tests an allen Eingaben durchgeführt und die Reaktionen des Ziels überprüft, um mögliche Schwachstellen aufzudecken.
Ein vollautomatisches Tool liefert nach Abschluss seiner Arbeit eine Liste der gefundenen Schwachstellen zurück. Leider gibt es jedoch oft nicht mehr an, welche konkreten Komponenten getestet wurden und welche Tests daran durchgeführt wurden. Wenn ein automatisiertes Tool doch eine solche Liste bereitstellt, handelt es sich um eine unübersichtliche Auflistung von Aktionen, die niemand durchgehen möchte.
Es ist wichtig zu wissen, dass vollautomatisierte Testtools nicht alle Schwachstellen aufdecken können und daher oft nur ein falsches Gefühl der Sicherheit vermitteln. Die folgende Liste enthält einige Arten von Schwachstellen, die automatisierte Tools nicht erkennen können:
- Schwachstellen, die sich an anderer Stelle manifestieren als an der getesteten Eingabe
- Schwachstellen in der Geschäftslogik
- Schwachstellen, die nur bei einer bestimmten Kombination von Werten in mehreren Eingaben auftreten
Weitere Nachteile vollautomatisierter Tools sind beispielsweise eine große Anzahl an falsch positiven Befunden.
Wenn Sie ein höheres Maß an Sicherheit gewährleisten möchten, sollten Sie sich nicht ausschließlich auf automatisierte Tests verlassen. Überprüfen Sie die Sicherheit mit manuell durchgeführten Penetrationstests oder verbinden Sie automatisierte Tests mit manuellen Tests mit Hilfe der Penterep-Plattform.