Tool überprüft PHP-Anwendungen auf Fehler

Kein Tag vergeht mehr ohne neue Sicherheitsprobleme in webbasierten Anwendungen. Fehlerklassen wie "SQL Injection", "Cross Site Scripting" und "Remote Code Injection" gehören zum täglichen Brot sicherheitsbewusster Webentwickler. Mit dem Web-Sicherheitsscanner "Chorizo" stellt das PHP-Entwicklungshaus Mayflower nun ein Werkzeug vor, mit dem Programmierer und Administratoren ihre eigenen Webprojekte auf Schwachstellen überprüfen können.

Der nach einer argentinischen Wurst benannte Scanner ist als ASP-Anwendung erhältlich, herunterladen können Kunden die Software nicht. Sie wird entweder als Proxy im Browser des Überprüfenden eingetragen oder über ein Webformular mit URLs gefüttert. Möchte der Anwender lediglich einen einzigen Hostnamen – etwa die eigene private Homepage – prüfen, ist die Nutzung kostenlos, einige Leistungsmerkmale stehen jedoch nicht zur Verfügung. Um nachzuweisen, daß die zu prüfende Website tatsächlich in seiner Verfügungsgewalt ist, muß der Kunde zunächst eine kleine Textdatei ins Wurzelverzeichnis der Domain kopieren. Ein ähnliches Verfahren setzt Google zur Eigentumsprüfung für Sitemaps ein.

Wurden beim Test auf mehrere Hundert SQL-, Code-Injection und Cross-Site-Scripting-Lücken sowie andere häufige Angriffsszenarien Probleme festgestellt, können zahlende Kunden in einem PDF-Bericht alle Lücken und mögliche Lösungswege einsehen – auch an eine Checkliste für Entwicklerteams haben die Mayflower-Programmierer gedacht. Kurze Codefragmente – bislang leider nur in PHP – sollen bei der Behebung der Security-Bugs helfen. Großen Wert legt man bei Mayflower auch auf den Datenschutz: So sind die Verbindungs- und Nutzdaten des Proxyservers verschlüsselt auf den Chorizo-Servern gespeichert und nicht für Mitarbeiter oder Dritte einsehbar. Für 289 Euro kann man ein Jahr lang bis zu 5 Hosts testen. (Christopher Kunz)/ (dab)