swissfender - Web App Defence.

Schützt Web Applikation und User vor Angriffen.

Incidents registriert
3'781

Angriffe abgewehrt
1'154
In den letzten 24 Stunden
swissfender.js Demo

Der swissfender unterstützt Webseiten-Betreiber, den Schutz sowohl Ihrer Web Applikation als auch Ihrer Kunden zu verbessern.

TRUSTED BY

Der swissfender

Client- und serverseitige Abwehrmechanismen

Der swissfender basiert auf client- sowie serverseitigen Abwehrmechanismen, welche den Schutz einer Web Applikation und deren Benutzer gewährleisten soll. Dabei lässt sich der swissfender auf der Client-Seite mithilfe eines JavaScript-Plugins sowie speziellen Security HTTP Headers integrieren. Auf der Server-Seite kann optional eine REST-API für Sofortmassnahmen eingerichtet werden.

Die Plattform ist als isolierter Container (SaaS) oder in einer lokalen virtuellen Maschine (OnPremis) verfügbar.

Das JavaScript-Plugin swissfender.js, ein Bestandteil des swissfender, kann hier getestet werden:

swissfender.js Online Demo

Clientseitige Abwehr

Schutz direkt im Browser des Benutzers

Die clientseitigen Abwehrmechanismen des swissfender lassen sich grob in zwei Sektionen einteilen. Zum einen unterstützt der swissfender die Aktivierung und Konfiguration von Abwehrfunktionen, welche in jedem modernen Browser eingebaut sind.

Zum anderen übernimmt das JavaScript-Plugin swissfender.js das JavaScript Execution Environment und modifiziert dieses, um beispielsweise Reverse Engineering zu erschweren oder mittels Sandboxing potentiell gefährliche JavaScript Funktionen zu blockieren.

Mehr erfahren
Einbindung des JavaScript-Plugin

Durch das Einbinden des swissfender.js JavaScript-Plugins in eine Webseite wird dieses automatisch aktiviert. Folgende Funktionen weist das Plugin auf:

JavaScript Sandboxing - Das Blockieren von potenziell gefährlichen JavaScript Funktionen vermindert die Wahrscheinlichkeit der Korrumpierung einer Besuchersitzung durch eine erfolgreiche Cross-Site-Scripting Attacke, bei welcher das ursprüngliche JavaScript einer Webseite durch Fremdcode verändert wird.

Self-XSS Schutz - Durch das Anzeigen von Warnungen in der Browser-Entwicklerkonsole wird ein Webseitennutzer über die Gefahren eines Self-XSS Angriffs aufgeklärt, sodass der Nutzer nicht von Drittpersonen dazu verleitet wird, seine eigene Sitzung unwissentlich durch Einfügen von Schadcode offen zu legen. Dies erlaubt einem Angreifer Einsicht in die Sitzung zu erhalten und diese zu übernehmen.

Reverse Engineering Blocking - Durch Abwehrmechanismen wird das Reverse Engineering des JavaScript Execution Environments einer Webseite erschwert. Somit bleiben die inneren Abläufe der Web Applikation besser verborgen und können von einem Angreifer weniger gut nachvollzogen werden.

Einbindung durch HTTP Security Headers

Browserschutz-Funktionen wie Content-Security-Policy oder die XSS-Protection können mittels sogenannten HTTP Security Headers aktiviert und konfiguriert werden. Dabei wird spezifiziert, von welchen Quellen Bilder, Scripts und andere Dateien in die Webseite geladen werden dürfen und welche Art von JavaScript ausgeführt werden darf. Somit können Angriffsvektoren minimiert werden, welche zur Ausführung von Cross-Site-Scripting Attacken verwendet werden. Mithilfe eines HTTP Header Konfigurators im swissfender Portal können diese Security Headers ohne grossen Aufwand generiert werden.

Serverseitige Abwehr

Vollautomatisierte Abwehrprozesse

Die swissfender Angriffserkennung kann für ein Webportal aktiviert werden, um Angriffe auf dessen Benutzer automatisch zu detektieren und Abwehrprozesse umgehend einzuleiten. Diese können im swissfender Portal konfiguriert werden und dienen der Schadensbegrenzung. Unter anderem können Aktionen ausgelöst werden, wie das Zerstören von gekidnappten Sitzungen oder das Blockieren von entwendeten Zugriffstokens.

Die Attack Map visualisiert in welchen Gebieten der Welt kürzlich Angriffe detektiert und Abwehrmassnahmen eingeleitet wurden.

Mehr erfahren
Einbindung durch HTTP Reporting Headers

Diverse HTTP Headers bieten eine Reporting-Funktion, welche im Falle einer Fehlkonfiguration oder eines detektierten Angriffs automatisiert Reports generiert. Diese werden an die swissfender URL gesendet und von der swissfender Engine verarbeitet.

Durch diese Analyse können Bedrohungen nach realen Gegebenheiten modelliert und wertvolle Informationen über die verwundbaren Komponenten extrahiert werden. Diese Details werden anschliessend vom swissfender genutzt, um vordefinierte REST-APIs zu kontaktieren. Mittels dieser REST-APIs können serverseitig Aktionen wie das Beenden einer Benutzersitzung ausgelöst werden.

Platform Governance Mechanism

Striktes Berechtigungsmanagement mit Blockchain Logging

Durch ein umfassendes Access Management System können die Benutzer jedes Teams individuell mit diversen Rechten ausgestattet werden. Somit können sensitive Daten geschützt und eine Gewaltenteilung innerhalb der Applikation gewährleistet werden.

Das implementierte Blockchain Logging System garantiert komplette Transparenz, indem es alle Aktionen der Benutzer innerhalb des swissfender Portals aufzeichnet. Daher ist es weder einem Benutzer noch einem Administrator möglich, Log-Einträge zu verfälschen oder zu löschen.

Community Edition

Einen Teil des swissfender kostenlos auf der eigenen Webseite testen.

Die Community Edition des swissfender.js JavaScript-Plugins kann kostenlos auf Webseiten zur Verhinderung von Reverse Engineering und clientseitigen Script Injections, was zu einem höheren Schutz der Web Applikation sowie des Benutzers führt.

Die kostenlose Version des JavaScript-Plugins geht einher mit einem kleinen Logo-Banner, welches auf Ihrer Webseite angezeigt wird solange Sie die kostenlose Plugin Version nutzen. Das Logo Banner kann durch den Erwerb eines swissfender Lizenzschlüssels ausgeblendet werden.

Integration des swissfender.js

swissfender Product Brief

Einblicke in Engine und Portal

PDF herunterladen
Während Sie diese Seite gelesen haben, wurden
0 Incidents
durch den swissfender registriert

(die Anzahl detektierter Angriffe basiert auf aktuellen Daten der swissfender Engine)
Kostenlose Live-Demo

KastGroup GmbH

The Power of Innovation

Das Infrastruktur-Team von Group IT der Liechtensteinischen Landesbank arbeitet seit 2017 in diversen Projekten mit der Kastgroup GmbH zusammen und ist mit den Umsetzungen immer sehr zufrieden...
Andreas Batlogg
Leiter IT Infrastructure, Liechtensteinische Landesbank AG
Referenzen lesen