IOActive揭JavaScript、PHP等五大程式語言暗藏缺陷，恐使程式曝露安全風險

IOActive在倫敦的黑帽駭客活動上展示模糊測試工具XDiFF，在JavaScript、Perl、PHP等五大程式語言中找到缺陷，例如在Python中找到可被用來執行OS命令的方法與環境變數，NodeJS輸出錯誤訊息時可能外洩資料等等（示意圖，與新聞事件無關）。

資安業者IOActive在上周於倫敦舉行的「黑帽」（Black Hat）駭客會議上展示了一項新的模糊測試工具，利用該工具測試了JavaScript、Perl、PHP、Python及Ruby等五大熱門的程式語言，在檢驗這些程式語言的預設函式庫與內建函式之後，發現了許多程式語言的缺陷，將導致應用程式的安全漏洞，包含命令執行或資訊外洩等。IOActive也在本周開源了所使用的 XDiFF模糊測試框架。

工欲善其事，必先利其器。為了執行此一研究，IOActive打造了混合式的模糊測試工具（fuzzer）—XDiFF，可用來辨識軟體中的個別漏洞，以及軟體中具備類似行為的多個漏洞。

以Python撰寫的XDiFF是個漏洞自動查找工具，它盡可能地蒐集有價值的資料，以推論應用程式中的所有潛在漏洞，這些漏洞可能是出現軟體中，也可能出現在基於不同實現的行為中，可進行平行測試，支援Linux、Windows、OS X及Freebsd等作業系統，亦可附加除錯工具來檢查記憶體錯誤。

IOActive以XDiFF來檢驗五大程式語言及相關的實現與編譯器，包括JavaScript、Perl、PHP、Python與Ruby，以及v8、Spidermonkey、ChakraCore、NodeJS、HHVM、JRuby、ActivePerl、PyPy及Jython等。

在Python中找到可被用來執行OS命令的方法與環境變數，發現NodeJS輸出錯誤訊息時可外洩機密資料，而JRuby、Perl與PHP的某些非遠端執行程式函式卻可用來執行遠端程式。

《全文請見iThome（https://www.ithome.com.tw/news/119434）》