如何檢查開源網站代碼是否留有後門?

提供開源代碼的網站程序很多,我們經常將這類開源程序加以修改成我們所需的網站。因此,是否有辦法對這些代碼的安全性進行檢測,以防被人為留下後門、BUG等安全隱患。


存在後門也就是開發商程序員留下,或者被黑客惡意入侵留下後門,對待這2種情況,普通的使用者都無法及時發現,試想你下載一份代碼會先去看看是否有後門在部署嗎,對於小站長來說顯然不現實,沒有很好的辦法來實現,或者就是採取挖漏洞的辦法自己去看代碼,看是否能發現,或者就是靠第三方紕漏來發現及時發現,檢查後門容易,但如果是靜心構造的後門、邏輯錯誤比如邏輯炸彈類型的,靠普通的漏洞挖掘也不一定能發現,首先你得讀懂理解代碼。

這個話題還可以在大點,對linux系統的內核源代碼被人修改?下邊引用一個實例:

phpmyadmin官方下載分站被黑事件知會

下邊是linux源代碼在2003年被修改的一個案例:

2003年11月5日,Larry McAvoy(開發BitKeeper的BitMover公司總裁)注意到CVS拷貝中的一個代碼變動沒有審批記錄。調查發現,這一代碼變動根本沒有經過審批,也沒有出現在BitKeeper管理的源碼中進一步調查發現,有人入侵了CVS伺服器,在內核源碼中插入了一個小改動

wait4: if ((options == (__WCLONE|__WALL)) (current-&>uid = 0)) ...

『它看起來似乎是一個無害的錯誤檢查代碼,但細心的讀者會注意到,第一行最後是uid = 0而不是== 0,它實際上給予任何以某種本來被認為無效調用wait4的軟體以root許可權。換句話說,它是一個典型的後門程序。


同意樓上所說,所以建議使用大品牌系統,起碼保障一些。另外建議從官方下載,不放心的話自己可以做一次整體的檢測,之後多多關注官方,有漏洞之類的,及時核對自己應用。


推薦閱讀:

招行網銀曝漏洞:客戶信息泄露可被修改,回應稱系伺服器緩存
如何保護伺服器免受 Meltdown 和 Spectre 漏洞的波及
瀏覽器廠商應對重大 CPU 安全漏洞:降低時鐘精度,禁用 SharedArrayBuffer
博全球眼球的OAuth漏洞

TAG:開源軟體 | 網路安全 | 開源 | 軟體後門 | 漏洞 |