近日,PHP漏洞獵人Stefan Esser共公布了PHP源代碼中的41個安全漏洞,這讓他感到非常滿意。
Stefan Esser表示,經過今年三月份這個成功的“PHP BUG月(the Month of PHP bugs)”,他證明自己的實力和言論。
“PHP BUG月”項目旨在曝光在PHP源代碼中的安全漏洞,共發現了44個安全漏洞,不過Esser表示真正的數字是41個,因為其中有3個漏洞不是PHP代碼本身的原因,Esser將這三個漏洞成為“額外的贈品”。
在“PHP Bug月”之中以及之前,Esser已經發現了很多PHP代碼中的漏洞。
許多批評家在他們的博客中表示,Esser的這個項目是他對曾經關系密切的PHP社區的一次報復行動。
Esser是PHP安全響應團隊的創始人之一,在去年十二月,Esser就參與過一場關於PHP安全性的爭論,他認為PHP安全響應組織(PHP Security Response Team)對問題的修復速度太過遲緩,認為他們在為不安全的PHP源代碼遮遮掩掩。
根據他對PHP源代碼的指責,Esser開始著手發起MOPG(PHP Bug月,Month of PHP bugs)項目,他說這是對PHP中的安全漏洞的一次集中考查。“數年以來,我一直在從事PHP的漏洞查詢工作,現在只是我把這些漏洞收集起來,並以一種引人注目的方式來公布它們。” 他強調,這個活動並不是為了打擊PHP程序同僚,而是用一種合法的方式來引起廣泛注意。
“結果是我證明了我以前的觀點是有實際內容支持的,PHP安全問題已經非比尋常,PHP的安全性並不是像那些市場人員所吹噓的那麼好。”Esser表示,“尤其是,我已經證明了此前我的觀點:PHP開發者在解決安全漏洞的時候,非但沒有真正修復它們,反而再次引入了新的安全漏洞。”
Esser表示他不知道他的MOPB項目是否會有所收獲。但是他表示,“我將繼續發現在PHP中的安全漏洞,並針對這些安全缺席開發出保護措施。”
Esser表示,“這個工作我已經堅持了六年,我沒有打算停止它。在我的口袋裡還有更多的PHP安全漏洞。”
from:http://www.chinaunix.net/