Code Quality(代碼質量),這是一個很模糊也很抽象的概念,什麼叫做代碼質量?在一個安全家的眼裏,或者更直白的說在一個黑客的眼裏,我想可能就不能等同於代碼風格、運算效率,更多的可能是從是否有安全漏洞和是否做好了安全控制(這個方面包含的內容更多,而這個實驗呢則僅僅從一個小小的視角,即:在代碼中是否泄漏敏感或者重要的信息)等方面進行考慮。
這個實驗的內容大概是這樣的:一個站點的開發往往不是個人,而是一個集體,一個團隊,那麼開發者在開發的過程中呢,往往會爲了開發方便或者由於某種心理情緒留下一些重要的數據或者隱私。進而造成敏感數據的泄露,危害站點安全。那麼也就是說我們往往可以通過對源代碼中註釋的閱讀,發現一些重要的信息。例如:本實驗中的用戶名和密碼,當然黑客往往還會找到開發者公司或者團隊的信息(因爲有時候這個經過這個公司或者團隊開發的某個網站存在什麼樣的漏洞,那麼這個時候我們就可以猜想本站點是否存在同樣的問題,答案是肯定的,這會導致連鎖反應)。下面讓我們一起進入實驗(Discover clus in the HTML):
首先,我們首先要明確目標;正如實驗中所提示的我們需要查看的是例如 FIXME's, TODO's, Code Broken, Hack這樣的陳述,也就是說開發人員所留的註釋中的信息。也就是說我們需要注意的網頁中的敏感信息。如圖 1 所示。其中<!-- value --> 就是用來標註註釋的。我們在這裏可以看到我們所需要的用戶名admin和密碼adminpv,接下來我們拿着這組數據進行登錄實驗就會得到如圖 2 所示的結果。
圖 1
圖 2
到此爲止,這個實驗九結束了我們不難發現這個實驗的目的是告訴我們其實家賊難防啊!即使擁有再堅固的城牆,威力再大的武器,也架不住一個內鬼的存在啊!其實就是想告訴大家,一個程序員或者說一個開發員的習慣是很重要的,有時候認爲不怎麼重要,或者說當時還記得但可能因爲某些事情而忘記了,到最後可能會給公司帶來很大的損失,所以作爲開發者作爲一名程序員,我們在進行程序開發的時候不僅要想着怎麼避免漏洞的檢測,怎麼做好安全的防護,怎麼做好安全的檢測,養成一個好的編程習慣,對敏感的數據時刻保持警惕也是很重要的。