近日,PHP漏洞猎人Stefan Esser共公布了PHP源代码中的41个安全漏洞,这让他感到非常满意。
Stefan Esser表示,经过今年三月份这个成功的“PHP BUG月(the Month of PHP bugs)”,他证明自己的实力和言论。
“PHP BUG月”项目旨在曝光在PHP源代码中的安全漏洞,共发现了44个安全漏洞,不过Esser表示真正的数字是41个,因为其中有3个漏洞不是PHP代码本身的原因,Esser将这三个漏洞成为“额外的赠品”。
在“PHP Bug月”之中以及之前,Esser已经发现了很多PHP代码中的漏洞。
许多批评家在他们的博客中表示,Esser的这个项目是他对曾经关系密切的PHP社区的一次报复行动。
Esser是PHP安全响应团队的创始人之一,在去年十二月,Esser就参与过一场关于PHP安全性的争论,他认为PHP安全响应组织(PHP Security Response Team)对问题的修复速度太过迟缓,认为他们在为不安全的PHP源代码遮遮掩掩。
根据他对PHP源代码的指责,Esser开始着手发起MOPG(PHP Bug月,Month of PHP bugs)项目,他说这是对PHP中的安全漏洞的一次集中考查。“数年以来,我一直在从事PHP的漏洞查询工作,现在只是我把这些漏洞收集起来,并以一种引人注目的方式来公布它们。” 他强调,这个活动并不是为了打击PHP程序同僚,而是用一种合法的方式来引起广泛注意。
“结果是我证明了我以前的观点是有实际内容支持的,PHP安全问题已经非比寻常,PHP的安全性并不是像那些市场人员所吹嘘的那么好。”Esser表示,“尤其是,我已经证明了此前我的观点:PHP开发者在解决安全漏洞的时候,非但没有真正修复它们,反而再次引入了新的安全漏洞。”
Esser表示他不知道他的MOPB项目是否会有所收获。但是他表示,“我将继续发现在PHP中的安全漏洞,并针对这些安全缺席开发出保护措施。”
Esser表示,“这个工作我已经坚持了六年,我没有打算停止它。在我的口袋里还有更多的PHP安全漏洞。”
from:http://www.chinaunix.net/