如何檢查開源網站代碼是否留有後門？

01-29

提供開源代碼的網站程序很多，我們經常將這類開源程序加以修改成我們所需的網站。因此，是否有辦法對這些代碼的安全性進行檢測，以防被人為留下後門、BUG等安全隱患。

存在後門也就是開發商程序員留下，或者被黑客惡意入侵留下後門，對待這2種情況，普通的使用者都無法及時發現，試想你下載一份代碼會先去看看是否有後門在部署嗎，對於小站長來說顯然不現實，沒有很好的辦法來實現，或者就是採取挖漏洞的辦法自己去看代碼，看是否能發現，或者就是靠第三方紕漏來發現及時發現，檢查後門容易，但如果是靜心構造的後門、邏輯錯誤比如邏輯炸彈類型的，靠普通的漏洞挖掘也不一定能發現，首先你得讀懂理解代碼。

這個話題還可以在大點，對linux系統的內核源代碼被人修改？下邊引用一個實例：

phpmyadmin官方下載分站被黑事件知會

下邊是linux源代碼在2003年被修改的一個案例：

2003年11月5日，Larry McAvoy（開發BitKeeper的BitMover公司總裁）注意到CVS拷貝中的一個代碼變動沒有審批記錄。調查發現，這一代碼變動根本沒有經過審批，也沒有出現在BitKeeper管理的源碼中。進一步調查發現，有人入侵了CVS伺服器，在內核源碼中插入了一個小改動

wait4: if ((options == (__WCLONE|__WALL)) (current-&>uid = 0)) ...

『它看起來似乎是一個無害的錯誤檢查代碼，但細心的讀者會注意到，第一行最後是uid = 0而不是== 0，它實際上給予任何以某種本來被認為無效調用wait4的軟體以root許可權。換句話說，它是一個典型的後門程序。

同意樓上所說，所以建議使用大品牌系統，起碼保障一些。另外建議從官方下載，不放心的話自己可以做一次整體的檢測，之後多多關注官方，有漏洞之類的，及時核對自己應用。