Dazu verwendet das Python-Skript die Regular Expressions des PHP-IDS-Projekts, die auf Angriffe auf PHP-Webanwedungen passen. Dazu gehören Cross-Site-Scripting (XSS), Cross-Site Request Forgery(CSRF) und SQL-Injection. Da der Apache-Webserver in der Standardeinstellung keine Variablen von POST-Requests protokolliert, lassen sich auf diese Weise allerdings nur Angriffsversuche per GET-Anfrage aufspüren.

Das Tool schreibt seine Funde in einen Bericht in den Formaten Test, XML oder HTML (Beispielseite).

Scalp protokolliert seine Befunde nach Angriffstypen sortiert, beispielsweise als hübsch formatierte HTML-Seite.

In der Standardeinstellung seien Apache-Logs von mehrere hundert MByte kein Problem für das Skript, schreibt der Autor. Um sehr umfangreiche Log-Dateien in kurzer Zeit untersuchen zu können, lässt sich die Auswertung zudem auf eine Zeitspanne und eine bestimmte Art von Angriffen einschränken. Daneben bietet das Programm die Möglichkeit, eine Stichprobe aus einem großen Logfile zu untersuchen.

Das Tool besteht aus einem einzigen Python-Skript. Daneben benötigt der Anwender noch die Suchmuster. Beide Dateien sind auf der Projekt-Homepage verlinkt.

Romain Gaucher arbeitet derzeit an einer C++-Version seines Programms.