Barracuda Vulnerability Manager and Remediation Service

Der schnellste Weg, um Ihre Web-Applikationen zu schützen
Kostenloser Webseiten-Scan

Häufig gestellte Fragen

Was scannt der Barracuda Vulnerability Manager?

Der Barracuda Vulnerability Manager scannt nur Webanwendungen, sodass er nur auf den Webserver abzielt, auf den er angesetzt wird. Er scannt weder Ihr Netzwerk noch Ihre Infrastruktur Der Vulnerability Manager zielt beispielsweise nicht auf Layer-3-Firewalls, VPN-Geräte, E-Mail-Server oder -Geräte, FTP-Server, Telefonsysteme oder andere Netzwerkgeräte ab und scannt diese auch nicht.

Welche Arten von Schwachstellen erkennt der Barracuda Vulnerability Manager?

Barracuda Vulnerability Manager – Typenübersicht für Schwachstellen.

Der Barracuda Vulnerability Manager erkennt viele häufige Schwachstellen in Webanwendungen, darunter SQL Injection, Cross-Site Scripting (XSS), CrossSite Request Forgery (CSRF) und weitere. Eine ausführlichere Liste finden Sie unter „Barracuda Vulnerability Manager – Typenübersicht für Schwachstellen.“

Von wo aus werden die Scans durchgeführt?

Die Scans des Barracuda Vulnerability Manager werden vom Barracuda-Rechenzentrum in Southfield, Michigan, aus durchgeführt. Der IP-Bereich ist 64.235.153.0/24

Wie wird der Scan durchgeführt?

Um die Webanwendung zu scannen, sendet der Barracuda Vulnerability Manager speziell gestaltete Anfragen an Ihren Webserver und analysiert die Antworten. Anfällige Server reagieren auf eine Weise, die der Scanner erkennen kann und wir werden Ihnen dies melden. Die Anfragen, die der Barracuda Vulnerability Manager sendet, sind speziell so konzipiert, dass sie keinen Schaden an Ihren Servern anrichten – sie erkennen Schwachstellen lediglich und nutzen diese in keiner Weise aus.

Welche Daten erfasst Barracuda Vulnerability Manager während des Scans?

Während des Scans erfasst Barracuda Vulnerability Manager verschiedene Informationen über Ihre Anwendung. Diese Informationen werden genutzt, um die Genauigkeit zu erhöhen und Schwachstellen in der Anwendung zu finden. Diese Informationen können Daten über die von Ihrer Anwendung verwendeten Technologien und Komponenten, die Struktur Ihrer Anwendung sowie Listen von Seiten, Formularen, Feldern und Cookies enthalten.

Barracuda Vulnerability Manager erfasst keine persönlich identifizierbaren Informationen (PII) oder Aufzeichnungen aus der Datenbank Ihrer Anwendung, unabhängig davon, ob diese Informationen öffentlich zugänglich sind oder nicht. Wenn Barracuda Vulnerability Manager eine Schwachstelle findet, die die Vertraulichkeit von Daten in Ihrer Webanwendung gefährden könnte, erfasst er keine der Daten, die gefährdet sein könnten; stattdessen macht er Sie lediglich auf das Problem aufmerksam.

Barracuda Vulnerability Manager erfasst außerdem nicht den Quellcode (weder Client- noch Server-seitig) Ihrer Anwendung.

Wie lange dauert ein Scan?

Die Dauer des Scans variiert je nach Umfang Ihrer Anwendung stark – von einigen Minuten bis zu mehreren Tagen. Sie können den Fortschritt des Scans über den Bildschirm „Aktive Scans“ von Barracuda Vulnerability Manager überwachen. Wenn Sie möchten, können Sie auch die Länge des Scans begrenzen. In diesem Fall sehen Sie nur die Schwachstellen, die innerhalb der jeweiligen Zeitspanne gefunden wurden. Sie können einen aktuell laufenden Scan jederzeit abbrechen. Auch in diesem Fall sehen Sie nur die Schwachstellen, die bis zum Abbruch gefunden wurden.

Welche Risiken sind mit der Ausführung des Scans verbunden?

Der Scan wurde speziell entwickelt, um Ihre Webanwendung, Ihren Webserver, Ihre Datenbank oder Ihre Netzwerkinfrastruktur nicht zu beschädigen. Während des Scanvorgangs reicht der Scanner alle Webformulare, die sich in Ihrer Anwendung befinden, mehrmalig ein, um sie auf Schwachstellen zu testen. Wenn Sie über ungeschützte Formulare verfügen, die Daten in eine Datenbank übertragen oder E-Mails auf Grundlage von Formulareinreichungen versenden, sehen Sie möglicherweise eine große Anzahl von Datenbankeinträgen oder E-Mails, die während des Scans versendet werden. Sie können diese Aufzeichnungen und/oder E-Mails gefahrlos ignorieren oder löschen – sie richten keinen Schaden an.

Wird der Scan meinen Webserver überlasten?

Barracuda Vulnerability Manager verfügt über eine automatische Überlastungsschutzfunktion: Wenn er eine hohe Last auf Ihrem Webserver feststellt, reduziert er automatisch die Scan-Geschwindigkeit, bis keine hohe Last mehr festgestellt wird. Unabhängig vom Überlastungsschutz sendet Barracuda Vulnerability Manager maximal 15 Anfragen pro Sekunde an Ihren Server. Wenn Sie möchten, können Sie diesen Wert im Tab „Crawling“ des Dialogs zur Scankonfiguration anpassen. Sie können diesen Wert zum Beispiel erhöhen, wenn Sie einen Nicht-Produktionsserver scannen und der Scan schneller abgeschlossen werden soll.

Kann ich Anwendungen scannen, die auf öffentlichen Cloud-Servern, vor Ort, in Kollokation usw. gehostet werden?

Barracuda Vulnerability Manager kann jede Webanwendung scannen, die öffentlich zugänglich ist, unabhängig davon, wo sie gehostet wird. Wenn irgendein Anwender im Internet die URL Ihrer Anwendung eingeben und auf sie zugreifen kann, kann sie gescannt werden.

Kann ich Anwendungen scannen, die sich hinter einem Load Balancer oder einer Firewall befinden?

Ja. Barracuda Vulnerability Manager kann unabhängig von Load Balancern oder Firewalls scannen, die der Anwendung vorgeschaltet sind, solange die Anwendung öffentlich zugänglich ist.

Wird Barracuda Vulnerability Manager meine Anwendung „hacken“, um Schwachstellen aufzudecken?

Nein. Barracuda Vulnerability Manager wird feststellen, ob Ihre Anwendung von einem böswilligen Angreifer gehackt werden könnte, aber es wird Ihre Anwendung nicht hacken. Insbesondere wird Barracuda Vulnerability Manager Ihre Anwendung nicht dazu veranlassen, schädlichen Code auszuführen, Daten aus Ihrer Anwendung stehlen oder sie zum Absturz bringen.

Werden die Mitarbeiter von Barracuda Zugriff auf die Daten meiner Anwendung haben?

Nein. Barracuda Vulnerability Manager kann zwar Anfrage- und Antwortdaten speichern, um Ihnen bei der Suche nach Schwachstellen zu helfen, die Daten Ihrer Anwendung werden jedoch nicht auf Barracuda-Servern gespeichert und sind für Barracuda-Mitarbeiter nicht zugänglich.

Werden Scan-Berichte in der Cloud von Barracuda gespeichert? Wie können Sie sicherstellen, dass die Berichte vertraulich bleiben?

Scan-Berichte werden auf speziell dafür vorgesehene Server im dedizierten Rechenzentrum von Barracuda gespeichert. Nur Sie können mit Ihren Anmeldedaten für Barracuda Cloud Control auf Ihre Berichte zugreifen. Wenn Sie gesetzliche Vorgaben haben, die verlangen, dass Ihre Daten auf physisch getrennten Servern oder vor Ort aufbewahrt werden müssen, wenden Sie sich bitte an uns, um Vor-Ort-Optionen zu besprechen.

Kann jeder, der Zugang zum Barracuda Vulnerability Manager hat, meine Anwendung scannen?

Nein. Aus Sicherheitsgründen und zur Vermeidung von Missbrauch müssen Benutzer jede Domäne, die sie zu scannen beabsichtigen, verifizieren, was entweder über den Domänen-Verifizierungsprozess von Cloud Control oder ´über den Barracuda Vulnerability Manager selbst möglich ist. Benutzer werden aufgefordert, diesen einfachen Verifizierungsprozess durchzuführen, der lediglich das Anklicken eines Links in einer E-Mail erfordert.

Barracuda Vulnerability Manager hat eine Schwachstelle in meiner Anwendung gefunden. Was soll ich tun?

Sie sollten unverzüglich Maßnahmen ergreifen, um die von Barracuda Vulnerability Manager gefundenen Schwachstellen zu beheben, insbesondere solche mit hohem oder kritischem Schweregrad.

Die einfachste Art, Schwachstellen in Webanwendungen zu beheben, ist die Verwendung einer Barracuda Web Application Firewall (WAF). Die WAF von Barracuda kann die Ergebnisse eines Barracuda Vulnerability Manager-Scans importieren und automatisch alle durch den Scan gefundenen Schwachstellen beheben. Weitere Informationen finden Sie im Solution Brief „Schwachstellen in Webanwendungen: von der Erkennung bis zur Behebung".

Die im Bericht von Barracuda Vulnerability Manager enthaltenen Informationen können auch von den Entwicklern Ihrer Webanwendung verwendet werden, um das Problem manuell im Quellcode der Anwendung zu finden und zu beheben.

Wie kann ich den Support kontaktieren?

Bitte senden Sie eine E-Mail an BVM_Support@barracuda.com, um Support zu erhalten.

Bei weiteren Fragen wenden Sie sich bitte an Barracuda Networks unter +1 888 268 4772.
Überblick > Dokumentation >