Interesting we gaan die source eens bekijken. Bedankt!

Grootspraak!

Mwoah - de source _bekijken_ is echt zo moeilijk niet - en ook niet ongeloofwaardig. Het kan inderdaad interessant zijn.

Roepen "daar gaan we vanavond nog een massa exploits in vinden" is veel meer grootspraak.

Bekijken kan iedereen, maar begrijpen, ho maar!

Imposter scamware.

Ik hou meer van het subtielere betere meta-zoekroos-combineer-en-deduceer-werk.

Nergens daadwerkelijk aan luikjes rammelen maar koude reconnaissance methoden gebruiken via het combineren van allerlei scanresultaten. En een online scanner voorzien van een eigen promiscue browser basis en zien wat er daarna aan onveilige domeinen door komt sijpelen. Eigen lijsten samenstellen met weak php en weak cgi. Malzilla gebruiken met eigen scripts, een variant op het origineel van bobby, een eigen geresourcehackte Intellitamper variant voor servers van wat er nog aan http sites ronddrijft.

GreyNoise - vulners, neo, dazzlepod, shodan, diverse honeypots, inline scripts, beautifiers, unminifiers, dom storm, standards & best policy tests, revocation lists en nog een hele reeks meer, die beter niet genoemd kunnen worden, anders verliezen we nog meerbruikbare en unieke online scanners, zoals we recentelijk urlquery dot net en publiek toegankelijke scanners als cleanmx verloren zijn.

Maar ik sta erin als onbevoorooldeeld vrijwillig security researcher zonder winstoogmerk en niet als iemand die wil compromitteren en kennis vrij geeft voor oneigenlijk gebruik.

luntrus

(andere anoniem hier)

Apart. Vind je het al grootspraak als iemand zegt iets interessant te vinden? Ben je zelf zo tot op het bot verveeld dat je het een onvoorstelbaar prestatie vindt om ergens interesse voor op te brengen? Dat bedoel je vast niet.

Als je bedoelt dat het grootspraak is dat iemand kaas van maken van programmacode dan ga je er kennelijk van uit dat computerprogrammeurs zo exotisch zijn dat je ze niet in het wild kan tegenkomen, of dat die onmogelijk zo goed kunnen zijn dat ze een oordeel kunnen vormen over code van Google, of er iets van kunnen leren.

Lees je wel eens een boek? Hoe snel heb je door of het goed geschreven is? Luister je wel eens naar muziek? Hoe snel heb je door of je een stuk goed in elkaar zit en gespeeld is of niet? Hoe snel heb je door of een film goed geregisseerd en geacteerd is? Waarom zouden programmeurs geen indruk van programmacode kunnen krijgen?

Ik heb enkele decennia professioneel geprogrammeerd, en ik heb de in het artikel gelinkte git-repositories gekloond om er even in rond te krijgen. Het is in Java geschreven, en daar heb ik al zo lang niet meer mee gewerkt dat ik merk dat ik dingen vergeten ben en dat er toevoegingen aan de taal gebruikt zijn die ik niet ken. Desondanks kan ik een aantal belangrijke dingen zien. De code is zeer modulair van opzet, classes en methods zijn op het agressieve af opgesplitst in kleine functionele eenheden die daardoor goed individueel te overzien, te testen te hergebruiken zijn, wat goed is voor de aanpasbaarheid en uitbreidbaarheid van de code. Er staat naar mijn smaak erg weinig commentaar in, maar ik zie dat dat komt omdat men namen van classes en methods zo heeft gekozen dat de code in hoge mate zelfverklarend is. Het geheel maakt de indruk gemaakt te zijn door gedisciplineerde programmeurs die goed weten wat ze doen. Dit is geen chaotische troep, dit ziet eruit als strakke, bondige en goed gestructureerde code.

Dat is niet meer dan een eerste oppervlakkige indruk, natuurlijk, en die garandeert absoluut niet dat er geen veiligheidslekken of andere problemen in zitten die ik zo snel niet kon herkennen, net zo min als je van dat boek, die muziek of die film na een eerste indruk al zeker weet dat die niet toch tegen gaat vallen. Maar ik zie wel een aanzienlijk betere basis om dergelijke problemen op te sporen en op te lossen dan in heel wat andere code die ik onder ogen heb gehad, code waarvan ik op het eerste gezicht al zag dat het een problematisch zooitje was. Dat laatste is beslist niet wat ik hier zie.

Maar wat roepen kan ook iedereen. Wat maakt je er zo zeker van dat niemand hier die code kan begrijpen?

Typische reactie van iemand die zelf geen noot lezen kan.
Er zijn echt mensen die code bekijken en terugkoppeling geven.

Die zullen er wel zijn, maar alleen als hackers een fout ontdekken! Trouwens ik kan muziek lezen, u ook?

Hoe bekijk je t dan ?

Wat denk jezelf, code binnenhalen en LEZEN!!

In de laatste alinea van het artikel staan hyperlinks naar de zogenaamde git-repositories voor Tsunami en plugins. Op het moment dat ik dit schrijf ligt de webinterface van github eruit, dus tot dat hersteld is valt er weinig te zien. Als de website weer in de lucht is kan je daar online de broncode inzien.

Ik neem aan dat als je deze vraag stelt je niet uit de voeten zal kunnen met de mogelijkheid om een eigen lokale kopie te maken van de repositories (niet alleen de huidige sources maar de hele versiegeschiedenis), maar ik meld het voor de volledigheid toch. Daarvoor moet het programma git geïnstalleerd zijn en moet je in een terminalvenster de volgende commando's geven:
Deze werken, ondanks dat de webinterface eruit ligt, wel gewoon. De commando's maken de subdirectory's tsunami-security-scanner en tsunami-security-scanner-plugins aan met daarin de broncode en de versiegeschiedenis (toegankelijk via het git-commando).

Kan ik dit in kladblok even bekijken?

Of _jij_ erin slaagt weet ik niet, maar je kunt code van github downloaden , extracten, en dan (zelfs) in kladblok bekijken.

Wat is de reden dat je niet even ge-googled hebt hoe je code van github kunt bekijken en/of downloaden ?
De link staat nota bene in het artikel .

Als je daar op (en daarheen) klikt zie je code. Met een beetje meer moeite krijg je die ook nog wel in kladblok.

Zomaar een link https://github.com/google/tsunami-security-scanner/blob/master/main/src/main/java/com/google/tsunami/main/cli/ScanResultsArchiver.java

Als je daarop klikt zie je een stukje java code.
Je ziet , aan zo'n klein brokje , heel weinig. maar goed - je kunt het "even bekijken"