Facebook Full Disclosure

Как сказал один очень уважаемый мною человек на тему повторных sql injection в известных проектах: "Проблема глобальнее - ошибка не в скриптах, а в ДНК некоторых людей!" :) Что тут можно еще добавить...


Следуя пословице, что уязвимость никогда не приходит одна рядом светится blind SQL injection.

Далее - проблема широких привилегий:



that's all?

источник: sla.ckers.org

7 комментариев :

  1. http://www.rian.ru/technology/20100722/257273831.html

    Анализ я так понимаю идет полным ходом? :)

    ОтветитьУдалить
  2. это вроде просто одно из тысяч приложений фейсбука. сам сервер не фейсбука.

    ОтветитьУдалить
  3. Уходить от пхп надо разработчикам настолько крупных проектов и 90% проблем исчезнут сразу, т.к. не все языки позволяют писать настолько криво.

    Хотя и в пхп недавно появилось PDO, с учётом того что MySQL от 4.1 поддерживает Prepeared Statements - можно избавиться от всех инъекций в проекте.

    В общем нет у них культуры программирования + неадекватные инструменты для таких масштабов, вот и лезут банальности отовсюду.

    ОтветитьУдалить
  4. я полагаю сложно и дорого им станет переписать все на другой язык...

    ОтветитьУдалить
  5. Ну это понятно, ранние ошибки дороже обходятся, в частности ошибка с выбором языка. Но даже без этого видно, что у них скорее всего нет единого интерфейса доступа к БД, т.к. если бы был, то достаточно было бы пофиксить одну функцию, и большая часть ошибок исчезает как класс.

    ОтветитьУдалить