Xakep #305. Многошаговые SQL-инъекции
Среди сотрудников Google — очень много талантливых хакеров. Шутят, что по среднему IQ компания Google заметно обгоняет всех конкурентов и даже у уборщиков докторские степени.
Программисты Google традиционно часть рабочего времени уделяют произвольным проектам по желанию (предварительно согласовав их с начальством). Некоторые любят искать уязвимости в сторонних продуктах, а также в программах Google, тем более что за это обычно причитается дополнительное вознаграждение. В последнее время сотрудники Google нашли так много 0day-уязвимостей в разных программах, что руководство сочло целесообразным сформировать особый хакерский отдел Project Zero. Теперь они занимаются любимым делом ежедневно, на постоянной основе ломая сайты, веб-сервисы и ПО, получая зарплату за это.
Более того, Google объявляет дополнительный набор в штат. «Мы нанимаем самых лучших специалистов по безопасности с практическим складом ума, которые будут 100% рабочего времени посвящать улучшению безопасности во всём интернете», — пишет в официальном блоге Крис Эванс (Chris Evans), руководитель Project Zero.
Google почти не ограничивает сферу деятельности хакерского отдела. Те могут исследовать абсолютно любую программу и веб-сервис при условии, что тот достаточно популярен. Публикация всех уязвимостей происходит в соответствии со стандартными процедурами, после предварительного уведомления авторов программы и выпуска патча. Кроме авторов, ни одну третью сторону уведомлять не будут, пусть это даже противоречит интересам национальной безопасности.
Все найденные баги загружаются в открытую базу данных (пока там пусто).
Кроме того, по желанию хакеров из Project Zero могут проводиться различные исследования на темы ИБ, в том числе по защите от атак, методам эксплуатации уязвимостей, автоматическому анализу программ и т.д. — по всем темам, которые исследователи сами сочтут интересными.