Этой статьёй мы начинаем серию материалов, посвященных поиску уязвимостей в популярных системах с открытым кодом. Ошибки в OpenSSL и glibc показали, что [тысячи глаз][1], имеющих доступ к коду, — не гарантия безопасности open source. Конечно, и закрытый код не становится безопаснее от самого факта закрытости. Просто при наличии правильных инструментов доступность исходного кода позволяет выявить гораздо больше уязвимостей, чем при тестировании методом «чёрного ящика». Вопрос лишь в том, кто этим воспользуется раньше – разработчики или злоумышленники. Последние два года в ходе разработки системы анализа исходных кодов PT Application Inspector мы проверяли на стендах и «в поле» сотни бесплатных и коммерческих, открытых и проприетарных приложений. В ходе этих тестов было найдено значительное число уязвимостей нулевого дня. Часть этих проблем была закрыта и известна по последним докладам о [безопасности SCADA][2], часть ожидает своей погибели в ходе ответственного разглашения. Воспользуемся же открытостью open source и покажем, как выявляются и анализируются уязвимости в исходном коде. В роли первого подопытного выступает бесплатная система управления сообществами InstantCMS, работающая на PHP и MySQL. На базе данного конструктора создано [немало][3] социальных сетей, сайтов знакомств, онлайн-клубов, городских порталов и государственных ресурсов. [Читать дальше →][4]

[1]: https://ru.wikipedia.org/wiki/%D0%97%D0%B0%D0%BA%D0%BE%D0%BD_%D0%9B%D0%B8%D0%BD%D1%83%D1%81%D0%B0
[2]: http://habrahabr.ru/company/pt/blog/247129/
[3]: http://www.cmsmagazine.ru/catalogue/instantcms/works/?sk=tcy&so=desc&st=&bt=&server=&cpp=30&pn=1
[4]: http://habrahabr.ru/post/250675/#habracut