Web Security Scanner identifiziert Sicherheitslücken in Web-Anwendungen auf Google Cloud durch automatisiertes OWASP-Testing.
Was ist Web Security Scanner?
Web Security Scanner ist Googles integriertes Tool zur Erkennung von Sicherheitslücken in Web-Anwendungen. Der Scanner crawlt Ihre Anwendung wie ein Angreifer: Er folgt Links, füllt Formulare aus und testet auf bekannte Schwachstellen wie XSS, SQL Injection und unsichere Konfigurationen.
Der Scanner ist Teil von Security Command Center und erkennt automatisch Web-Anwendungen auf App Engine, GKE und Compute Engine. Managed Scans laufen regelmäßig ohne manuelle Konfiguration. Gefundene Schwachstellen erscheinen als Findings im Security Command Center Dashboard.
Für spezifische Anforderungen können Sie Custom Scans konfigurieren. Diese ermöglichen das Scannen von authentifizierten Bereichen, spezifischen URL-Pfaden oder Anwendungen außerhalb der automatischen Erkennung.
Typische Anwendungsfälle
Kontinuierliches Security Testing
Ein SaaS-Anbieter aktiviert Managed Scans für alle Produktions-Anwendungen. Der Scanner läuft wöchentlich und meldet neue Schwachstellen automatisch im Security Command Center. Das Security-Team erhält Alerts bei kritischen Findings.
Pre-Release Security Checks
Ein Entwicklungsteam integriert Custom Scans in die CI/CD-Pipeline. Vor jedem Production-Deployment wird die Staging-Umgebung gescannt. Der Build schlägt fehl, wenn kritische Schwachstellen gefunden werden.
Compliance-Dokumentation
Ein Finanzdienstleister muss regelmäßige Security-Tests nachweisen. Web Security Scanner Reports dienen als Nachweis für Audits. Die automatischen Scans erfüllen Compliance-Anforderungen ohne manuellen Aufwand.
Authentifizierte Application Scans
Eine E-Commerce-Plattform scannt auch den Admin-Bereich. Custom Scans mit hinterlegten Credentials testen Login-geschützte Funktionen. Das deckt Schwachstellen auf, die anonyme Scans nicht finden.
Third-Party-Anwendungen auf GCP
Ein Unternehmen betreibt WordPress auf Compute Engine. Web Security Scanner findet veraltete Plugins mit bekannten Schwachstellen. Das IT-Team erhält priorisierte Updates basierend auf Severity.
Integration mit innFactory
Als Google Cloud Partner unterstützt innFactory Sie bei der Integration von Web Security Scanner in Ihre DevSecOps-Prozesse: von der Konfiguration über die Pipeline-Integration bis zum Findings-Management.
Kontaktieren Sie uns für eine Sicherheitsberatung.
Verfügbare Varianten & Optionen
Managed Scans
- Automatische Erkennung
- Keine Konfiguration nötig
- Teil von Security Command Center
- Nur GCP-Ressourcen
Custom Scans
- Manuelle Scan-Konfiguration
- Spezifische URLs
- Authentifizierte Scans
- Erfordert manuelle Einrichtung
Typische Anwendungsfälle
Technische Spezifikationen
Häufig gestellte Fragen
Was ist Web Security Scanner?
Web Security Scanner ist ein automatisiertes Tool zur Erkennung von Sicherheitslücken in Web-Anwendungen. Es crawlt Ihre Anwendung wie ein Angreifer und testet auf OWASP Top 10 Schwachstellen wie XSS, SQL Injection und mehr.
Welche Schwachstellen erkennt Web Security Scanner?
Der Scanner erkennt XSS (Cross-Site Scripting), SQL Injection, Mixed Content, veraltete Libraries, Klartextpasswörter, unsichere JavaScript-Libraries und weitere OWASP Top 10 Schwachstellen.
Wie unterscheidet sich Web Security Scanner von Cloud Armor?
Web Security Scanner findet Schwachstellen in Ihrer Anwendung. Cloud Armor schützt vor Angriffen durch WAF-Regeln. Scanner ist für Entwicklung und Testing, Cloud Armor für Runtime-Schutz.
Was kostet Web Security Scanner?
Web Security Scanner ist Teil von Security Command Center. Im Standard Tier sind Managed Scans kostenlos. Custom Scans und erweiterte Features erfordern Security Command Center Premium.
Kann ich authentifizierte Bereiche scannen?
Ja, Sie können Anmeldeinformationen konfigurieren, damit der Scanner auch geschützte Bereiche Ihrer Anwendung testet. Die Credentials werden sicher in Secret Manager gespeichert.
