Moin liebe Kolleginnen und Kollegen,
wer meinen Vortrag zu Interactive Application Security Testing im Rahmen der STUG HH gesehen oder das PDF (Artikel) gelesen hat, kann das anscheinend von heute an auch mal selbst mit Java-basierten Web.Anwendungen in einer Community Edition ausprobieren.
Natürlich ist der Funktionsumfang eingeschränkter als bei der Enterprise-Version, aber was man machen kann, wenn man denn nicht gegen irgendwelche Regelungen/Vorschriften verstösst ein Tool in der Cloud auf US-Servern zum Durchleuchten seiner App zu nutzen:
1. Account kreieren
2. Anleitung befolgen und contrast.jar (Agent) herunter laden
3. Agent in die eigene Java WebApp einbinden und starten
4. Wenn der Agent sichtbar ist, manuell oder mit autom. Oberflächentests (ja, die funktionalen Tests sind sehr gut dafür geeignet) mal losrattern.... aber nicht laut kreischen, wenn ihr DEUTLICH mehr Sicherheitslücken findet als ZAP, EclEmma, Sonar & Co. :-)
5. Entwicklern mal die Stacktraces zeigen.... und Staunen auslösen :-)
Viel Spaß
Jogi