В результате проведения Месяца безопасности PHP найдено 60 ошибок
5 июня 2010 года
Завершилась акция "Month of PHP Security (Архивная копия от 22 октября 2019 на Wayback Machine)", нацеленная на поиск связанных с языком PHP уязвимостей и написание статей по безопасному программированию на PHP. Акция проведена по инициативе компании SektionEins GmbH и лично Стефана Эссера (Stefan Esser) с привлечением ряда спонсоров, профинансировавших часть призового фонда, предназначенного для привлечения сторонних специалистов. Стефан известен как "бывший разработчик" PHP, настаивавший на повышении безопасности PHP-интерпретатора (hardening), несколько лет назад покинувший проект PHP и создавший проект Hardened-PHP (Suhosin patch).
В ходе акции было обнаружено 60 связанных с безопасностью ошибок, больше половины из которых затрагивают непосредственно интерпретатор PHP, а остальные ошибки присутствуют в популярных PHP-приложениях. Для сравнения в прошлой акции "Месяц ошибок в PHP", проведенной Стефаном в 2007 году, в PHP было найдено более 40 проблем безопасности.
По заявлению (Архивная копия от 9 ноября 2020 на Wayback Machine) Энди Гутманса (Andi Gutmans), директора компании Zend, курирующей развитие языка PHP, несмотря на столь внушительное число найденных ошибок, среди них нет критических проблем, все найденные уязвимости для своего проявления требуют наличия возможности выполнения PHP-скрипта на локальной системе, то есть по сути разработчик должен атаковать свой сервер или злоумышленник должен уже иметь возможность запуска PHP-кода, поэтому не стоит говорить о наличии в PHP нерешенных "zero-day" уязвимостей. В ближайшее время ожидается выпуск релиза PHP 5.3.3, в котором будет исправлено большинство из найденных в рамках акции ошибок.
Энди Гутманс, выразил признательность инициаторам акции Month of PHP Security, но подчеркнул, что не стоит говорить о низкой безопасности языка PHP как такового, найденные проблемы лишь подчеркивают необходимость повышения разработчиками самоконтроля и использования надлежащей практики кодирования - безопасность любого языка программирования в первую очередь связана с квалификацией использующих данный язык конечных разработчиков (язык безопасен настолько, насколько безопасен написанный на нем код). По мнению Гутманса язык не может защитить систему от ошибок программистов, наоборот, система должна обеспечивать должный уровень изоляции для минимизации вреда от некорректно написанных приложений.
Кроме того, энтузиастами со всего мира в рамках Месяца безопасности PHP написано 13 интересных статей, разбирающих суть известных типов уязвимостей, рассказывающих о связанных с безопасностью функциях и демонстрирующих технику безопасного программирования на языке PHP:
- "Virtual Meta-Scripting Bytecode for PHP and JavaScript (Архивная копия от 5 ноября 2019 на Wayback Machine)";
- "How to manage a PHP application’s users and passwords (Архивная копия от 22 октября 2019 на Wayback Machine)";
- "RIPS – A static source code analyser for vulnerabilities in PHP scripts (Архивная копия от 21 ноября 2019 на Wayback Machine)";
- "Configuration Encryption Patch for Suhosin (Архивная копия от 22 октября 2019 на Wayback Machine)";
- "Our Dynamic PHP – Obvious and not so obvious PHP code injection and evaluation (Архивная копия от 22 октября 2019 на Wayback Machine)";
- "Variable Initialization in PHP (Архивная копия от 5 ноября 2019 на Wayback Machine)";
- "Decoding a User Space Encoded PHP Script (Архивная копия от 21 ноября 2019 на Wayback Machine)";
- "The Minerva PHP Fuzzer (Архивная копия от 22 октября 2019 на Wayback Machine)";
- "Generating Unpredictable Session IDs and Hashes (Архивная копия от 21 ноября 2019 на Wayback Machine)";
- "sqlite_single_query(), sqlite_array_query() Uninitialized Memory Usage (Архивная копия от 22 октября 2019 на Wayback Machine)";
- "Context-aware HTML escaping (Архивная копия от 5 ноября 2019 на Wayback Machine)";
- "A New Open Source Tool: OWASP ESAPI for PHP (Архивная копия от 5 ноября 2019 на Wayback Machine)";
- "PHP Web Security (Архивная копия от 22 ноября 2019 на Wayback Machine)";
Источники
править- Главная ссылка к новости (http://www.developer.com/featu...) (Архивная копия от 9 ноября 2020 на Wayback Machine)
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
