Google ищет уязвимости в исходном коде
Google ищет уязвимости в исходном коде
Alexander Antipov
Автор нестандартного продукта предлагает набор поисковых запросов, которые позволяют обнаружить наиболее распространенные уязвимости в открытом исходном коде, проиндексированном Google.
Оказывается, с помощью самой популярной поисковой системы Google можно искать не только интересующую вас информацию, но и ошибки в исходном коде софтверных продуктов, опубликованном в сети Интернет.
Идея отслеживания "багов" в программе с помощью движка Google принадлежит британскому исследователю Эммануэлю Келлинису (Emmanouel Kellinis), возглавившему проект Bugle. Автор нестандартного продукта предлагает набор поисковых запросов, которые позволяют обнаружить наиболее распространенные уязвимости в открытом исходном коде, проиндексированном Google.
Ранее проект Bugle был закрытым, однако затем руководитель (и на тот момент единственный участник) решил привлечь общественность для увеличения числа запросов, способных идентифицировать программные ошибки. На сегодняшний день Bugle позволяет обнаружить переполнение буфера, целочисленное переполнение, уязвимость форматной строки, внедрение команд и SQL-запросов, а также уязвимости межсайтового скриптинга.
Переполнение буфера:
Целочисленное переполнение:
Уязвимость форматной строки:
Внедрение команд:
Control Flow
SQL инъекция
Межсайтовый скриптинг
Плохой код
Подозрительные комментарии
Идея отслеживания "багов" в программе с помощью движка Google принадлежит британскому исследователю Эммануэлю Келлинису (Emmanouel Kellinis), возглавившему проект Bugle. Автор нестандартного продукта предлагает набор поисковых запросов, которые позволяют обнаружить наиболее распространенные уязвимости в открытом исходном коде, проиндексированном Google.
Ранее проект Bugle был закрытым, однако затем руководитель (и на тот момент единственный участник) решил привлечь общественность для увеличения числа запросов, способных идентифицировать программные ошибки. На сегодняшний день Bugle позволяет обнаружить переполнение буфера, целочисленное переполнение, уязвимость форматной строки, внедрение команд и SQL-запросов, а также уязвимости межсайтового скриптинга.
Переполнение буфера:
| Strncpy - Buffer Length Miscalculation |
| Lang:c |
| by Varun Uppal |
| argv Strcpy |
| Lang:c | ||
| Simple Strcpy |
| Lang:c | ||
| Another Simple Strcpy |
| Lang:c | ||
| Generic Sprintf |
| Lang:c | ||
| Generic gets |
| Lang:c | ||
| Generic Strcat |
| Lang:c | ||
| Simple fscanf |
| Lang:c |
Целочисленное переполнение:
| Generic overflow - If Statement |
| Lang:c |
Уязвимость форматной строки:
| Printf ARGV |
| Lang:c | by Christer Öberg |
| Simple printf |
| Lang:c | |
| Simple fprintf |
| Lang:c | |
| Simple snprintf |
| Lang:c | |
| Simple vfprintf |
| Lang:c | |
| Simple vsprintf |
| Lang:c |
Внедрение команд:
| system() and argv |
| Lang:c |
| popen() and argv |
| Lang:c |
Control Flow
| Switch no break/no default |
| Lang:c |
SQL инъекция
| SQL Injection |
| Lang: Java |
| by Stephen de Vries |
Межсайтовый скриптинг
| ASP XSS |
| Lang:ASP |
| by Ollie Whitehouse |
Плохой код
| CreateFileMapping NULL Security |
| Lang:C |
| by Ollie Whitehouse |
| CreateFileMapping NULL Security |
| Lang:C++ |
| by Ollie Whitehouse |
| Unsafe Keyword |
| Lang:C# |
| by Ollie Whitehouse |
| Option Explicit Off |
| Lang:ASP |
| by Philipp Lenssen |
Подозрительные комментарии
| Dirty Hack |
| Lang:C | by Ollie Whitehouse |
| Dirty Hack |
| Lang:C++ | by Ollie Whitehouse |