PHP-Sicherheit gratis

Webbasierte Anwendungen können künftig auch im ASP-Verfahren auf verdächtige Inhalte gescannt werden. Dabei wird eine Gratis-Version und eine kostenpflichtige Vollversion angeboten.

Das Unternehmen Mayflower ist auf PHP (PHP Hypertext Preprocessor) spezialisiert und bietet den Security-Scanner an. Die Kunden sollen sich damit umständliche Testszenarien auf dem Webserver sparen.

Dennoch soll ‘Chorizo’ (eigentlich eine spanische Wurst mit Paprika und Eselsfleisch) umfangreiche Sicherheitsfragen beantworten können. Die auf der CeBIT in Hannover vorgestellte Software funktioniert plattformunabhängig, da nur ein Webbrowser zur Nutzung von Chorizo notwendig ist.

Chorizo scannt direkt von dort die jeweilige Internetanwendung und zeigt mithilfe von  Fehlerbeschreibungen mögliche Schwachstellen auf. Dies betrifft zum Beispiel XSS-Attacken (Cross Site Scripting), aber auch potenzielle SQL-Injections werden aufgespürt, die vorhandene Sicherheitslücken in Internetanwendungen missbrauchen können, heißt es. Dazu zählen unter anderem das Ausspionieren von Anwenderdaten wie Kennwörter, aber auch das Löschen kompletter Datenbankinhalte oder ähnlicher sensibler Datenbestände.

Chorizo kann auch als kostenlose Version eine Domain scannen. Die Lizenzversion kann mehrere Domains überprüfen. Sie  enthält einen so genannten Advisor, der dem Entwickler oder IT-Beauftragten bei Bedarf Tipps zur Behebung der Sicherheitslücken gibt. Der Preis einer Jahreslizenz wird 399 Euro, zur Einführung während der ersten Monate 289 Euro betragen. Die Software kommt Ende März in Deutschland auf den Markt. Eine Version, die nicht den Proxy von Mayflower benutzt und daher auch für das Scannen von Intranets geeignet ist, wird derzeit entwickelt.