Hackmanit entwickelt eine Reihe von professionellen Tools, die für Sicherheitsanalysen in den verschiedensten Bereichen eingesetzt werden. Das Team von Hackmanit legt dabei Wert auf eine hohe Integration: Die Werkzeuge können direkt in Ihr Unternehmen integriert werden und dabei (halb-)automatisch neue Gefahren erkennen. So kann beispielsweise WS-Attacker genutzt werden, um automatisch Ihre Webservices kontinuierlich auf Schwachstellen zu untersuchen. Weitere Tools folgen und werden zur Zeit intern entwickelt.

XML-basierte SOAP Webservices sind eine weitverbreitete Möglichkeit, die es dem Nutzer erlaubt, aus der Ferne Prozeduren aufzurufen und beliebige Daten zwischen Systemen auszutauschen. Einsatz finden SOAP Webservices aktuell bei serviceorientierter Architektur, Cloud Schnittstellen, Verwaltung von föderierten Identitäten, eGovernment oder militärischen Services. Die vielfältigen Anwendungsmöglichkeiten haben zur Entwicklung von zahlreichen - meist umfangreichen - Erweiterungen und damit zu einer höheren Komplexität geführt. Daraus resultiert wiederum eine große Angriffsfläche und das eine Vielzahl an möglichen Angriffen gegen Webservices existiert. Während der Implementierung von gewöhnlichen Web Applikationen nutzen die Entwickler verschiedene Penetrationstest Tools, um die Sicherheit Ihrer Systeme zu evaluieren. Im Vergleich zu sehr bekannten Angriffstechniken, wie SQL Injection oder Cross-Site Scripting (XSS), existieren jedoch keine Penetrationstest Tools, die das Testen von Webservice spezifischen Angriffen ermöglichen. Eben diese Lücke soll der WS-Attacker schließen und damit Entwicklern und Penetrationstestern die Möglichkeit geben, Schwachstellen in Webservices automatisiert zu erkennen. Das Tool unterstützt aktuell die Erkennung der folgenden Angriffe:

  • SOAPAction Spoofing
  • WS-Addressing Spoofing
  • Verschiedene XML-basierte Denial of Service Varianten (inklusive intelligenter adaptiver Tests)
  • XML Signature Wrapping
  • Angriffe gegen XML Encryption

Zur Projektseite

Zur Übersicht der Open-Source Tools

Beispiel für die grafische Oberfläche von WS-Attacker: 2020 06 ws attacker gui