Хакер #305. Многошаговые SQL-инъекции
После истории с Heartbleed сообщество всерьёз обеспокоилось безопасностью open source программ. Вскоре запустили CII (Core Infrastructure Initiative), инициативу для аудита ключевых свободных программ. Спонсорами выступили все крупнейшие интернет-компании. Теперь Linux Foundation запустила вспомогательный Census Project: перепись системных утилит Linux, чтобы понять, каким из них нужна помощь в первую очередь.
Census Project — это беглый автоматический анализ по нескольким критериям: сколько человек принимали участие в разработке, то есть вносили патчи, за последние 12 месяцев, как много уязвимостей найдено, насколько широко используется программа и насколько она открыта для сетевого доступа. Код проекта Census опубликован на Github.
Максимальный уровень риска присваивается популярным проектам с малым количеством разработчиков, наличием известных проблем безопасности и работающим с сетью.
По мнению авторов проекта, наибольшего внимания специалистов по безопасности требуют вовсе не те проекты, которые изначально перечислены для аудита в рамках проекта CII, а ключевые системные утилиты Linux. Действительно, ведь над популярными проектами работают сотни человек, там всё хорошо изучено, а системные утилиты Linux давно никто не изучал внимательно.
На данный момент в Census Project проведён анализ 395 проектов. Максимальный рейтинг риска получили утилиты ftp
, netcat-traditional
, tcpd
и whois
, получившие 11 из 15 баллов.
Результаты довольно неожиданные. Например, веб-серверу https
присвоен рейтинг всего лишь 8, несмотря на большое количество известных багов, выявленные в последние годы. Дело в том, что сейчас его аудитом занимается большое количество людей, это повлияло на снижение рейтинга риска.