Der Chorizo-Scanner schaltet sich über einen Proxy zwischen Website und Client und ermöglicht dem Entwickler, seine Webprojekte einem Sicherheits-Check zu unterziehen. Nach der Registrierung auf der Chorizo-Site kann der Entwickler die zu prüfende Domain angeben, auf der sich sein Entwicklungsprojekt befindet, und anschließend einen Kontrollschlüssel generieren, der in das Wurzelverzeichnis des Webservers kopiert werden muss.
Im Anschluss muss im Browser der Proxy eingerichtet werden. Nach erfolgter Authentifizierung wird das Chorizo-Panel im Browser eingeblendet und die Suche nach Sicherheitslücken beginnt.Das Chorizo-Panel verfügt über drei Tabs:Chorizo, Checks und Status. Es lässt sich frei im Browser verschieben. Zunächst ist das Tab Chorizo von Interesse. Hier können Sie die aktuell angezeigte Website direkt auf Sicherheitslücken überprüfen, entweder über Check the current page, Check recursive - je nach Angabe der Rekursionstiefe wird dann internen Verweisen gefolgt und diese Skripts werden ebenfalls gescannt - oder über Activate scanning while browsing, einer Funktion, die das Scannen während der Surfsitzung im Hintergrund betreibt.
Unter dem Tab Checks finden Sie alle bisher vorhandenen Module, die sich jedes für sich genommen einer Sicherheits-Kategorie widmen. Zurzeit bietet Chorizo Module zum Auffinden von XSS-Schwachstellen, Code-Execution, Code-Inclusion, SQL-Injections, Sicherheitslücken in Sessions, PHP-Konfigurations-Fehlern und Apache-Risiken. Mit aktiviertem HTTP-Modul lassen sich darüber hinaus Sicherheitslücken in Ajax-Anwendungen aufspüren. Hier spielt die Verwendung eines Proxyservers ihre Trümpfe aus, denn anders lassen sich XMLHttpRequests-Anfragen gar nicht ordentlich analysieren.
Nach dem Ende des Scan-Prozesses wechselt Chorizo automatisch auf das Status-Tab und zeigt dort den Fortgang sowie das Ergebnis des Scans an. Wurden Sicherheitslücken gefunden, werden diese angezeigt und abhängig von der Version in den Reports samt Ratgeber zur Beseitigung aufgeschlüsselt.
Den Chorizo-Scanner gibt es in einer kostenlosen Version und einer Standard-Version für 289 Euro pro Jahr (für bis zu fünf Domains). Weiterhin gibt es noch eine Intranet-Version, zugeschnitten auf Unternehmen, die professionelle Software-Entwicklung mit PHP betreiben.
Das PHP-Journal vermittelt praxisrelevantes Wissen für Entwickler von Web-Applikationen, für Content- und Online-Manager, Agenturen und Webmaster. Neben Praxisartikeln zu Programmiertechniken und Schnittstellen werden im PHP-Journal auch angrenzende Themen wie modernes Webdesign mit AJAX, Aufbau und Betrieb von Web 2.0-Communities und erfolgreiches Online-Marketing zum Beispiel über Suchmaschine-Optimierung behandelt.
