Итак, официально подвели итоги и опубликовали имена победителей данного конкурса. Напомню, что MOPS (Month of PHP Security) проводится с целью повысить безопасность как самого PHP, так и веб-приложений. Последний раз был в 2007 году, но в марте этого года, Stefan Esser, главный организатор конкурса, решил возобновить традицию и дать шанс исследователям провить себя. В течение месяца публиковались разные уязвимости (разработчики были уведомлены) и статьи. Ну а теперь пара слов про конкурс и призовые места.

Оригинальный источник: http://php-security.org/2010/06/10/winners-of-the-month-of-php-security/.

Итого, в этом году было опубликовано 60 уязвимостей, большинство из которых затрагивают именно интерпретатор PHP и 10 статей на разные темы. Более подробно тут:http://php-security.org/index.html. Какие призы получили участники описано здесь:http://php-security.org/cfp/index.html. На мой взгляд, достаточно щедро. Ну а теперь касательно призёров в моём субьективном мнении, опишу первые 4 места.

Первое место у Solar Designer - да, и тут дал о себе знать. Статья у него действительно хорошая и полезная - как правильно управлять аутентификационными данными в PHP - "How to manage a PHP application’s users and passwords". Выражаясь сленгом, это "must read". Там будет чего узнать всем - как разработчикам самих веб-приложений, так и исследователям безопасности.
Второе место получил Johannes Dahse, парень с неплохим потенциалом. Возможно, его кто знает по нику Flux Reiners, уже успел побывать в соавторстве книги Sichere Webanwendungen. А получил он своё место за сканер уязвимостей в веб-приложениях PHP на PHP, именуемый RIPS. По поводу сканера: честно говоря, ждал большего, но, видимо, это наилучшее, что доступно публично. Ну и автор обещает не останавливать развитие проекта. Кстати, советую почитать его блог.
Mateusz Kocielski на третьем месте, написал фаззер для PHP, который успел показать себя, найдя несколько уязвимостей в PHP. Назыается "The Minerva PHP Fuzzer". Доступен к скачиванию.
Ну и четвёртое место получил я, за свою статью "Our Dynamic PHP – Obvious and not so obvious PHP code injection and evaluation". Данная статья про самые разные способы выполнения PHP-кода, какие ошибки разработчики допускают. По правде говоря, надеялся максимум на купон от Amazon, но статья многим понравилась и разлетелась повсюду.

Призёры первых 4 мест получают денежный приз и VIP SyScan Ticket, то есть, билет на данную конференцию. Первое и 5-6 места получат сканер исходников CodeScan PHP, а остальные купон в Amazon. Вообще, было интересно. Думаю, что Stefan Esser ещё будет проводить MOPS, так что дерзайте!

теги: уязвимости, SyScan, статья, PHP | показов: 677